Kommunstyrelsens arbetsutskott kallas till sammanträde Dag Tisdagen den 11 juni 2013 Tid Kl. 09.00 Nacka stadshus, sammanträdesrummet Jelgava

1 Utskicksdatum 2013-06-04 1 (2) KALLELSE Kommunstyrelsens arbetsutskott kallas till sammanträde Dag Tisdagen den 11 juni 2013 Tid Kl. 09.00 Plats Nacka stadshus, sammanträdesrummet Jelgava Ordförande Mats Gerdau Nämndsekreterare Liselotte Lexén Föredragningslista Nr Ärende Noteringar 1. Val av justeringsman 2. Adjungering 3. Anmälningar 4. Delegationsbeslut, anmälan Yttranden 5. Upphandlingsutredningen SOU 2013:12 Goda affärer Yttrande till regeringen KFKS 2013/195-050 6. Revisionsrapport nr 6/2012 - Översiktlig uppföljning av ett antal områden kopplade till IT Yttrande till revisorerna KFKS 2012/340-007 Uppföljning och utvärdering 7. Utvärdering av Fisksätraakademin KFKS 2013/304-001 8. Uppföljning av nämndernas bidrag till kommunens hållbarhetsarbete KFKS 2013/332-001 Övrigt POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

2 2 (2) Nr Ärende Noteringar 9. Länsstyrelsens klimat- och energistrategi för antagande av kommunstyrelsen KFKS 2011/396-501 10. Upprättande av viltvårdsplan Muntlig information KFKS 2013/360-430 11. Tidplan för nya kultur- och naturreservat KFKS 2013/359-265 12. Försäljning av verket Snöljus av konstnären JAG Acke KFKS 2013/327-009 13. Prissättning av fördelade administrativa stödtjänster 14. Övriga frågor

3 2013-05-29 TJÄNSTESKRIVELSE KFKS 2013/195-050 1 (2) Kommunstyrelsen SOU 2013:12 - Goda affärer Förslag till yttrande över Upphandlingsutredningens slutbetänkande Förslag till beslut Kommunstyrelsen antar förslaget till yttrande över upphandlingsutredningens slutbetänkande SOU 2013:12 Goda affärer. Sammanfattning Nacka kommun har fått möjlighet att yttra sig över upphandlingsutredningens slutbetänkande Goda affärer, som är en strategi för långsiktigt hållbar upphandling. I det föreslagna yttrandet tillstyrker kommunen att direktupphandlingar ska få göras för värden upp till 600 000 kronor men förhåller sig kommunen tveksam till att man inrättar en medlingsfunktion för branscher där det förekommer många överprövningar. Kommunen vill hellre se åtgärder som förebygger att överprövningar begärs av okynne. I övrigt föreslås att kommunen överlag är positiv till den strategi som utredningen innebär. Ärendet Nacka kommun är en av de myndigheter och kommuner som fått möjlighet att yttra sig över upphandlingsutredningens slutbetänkande SOU 2013:12- Goda affärer. Utredningen har inte haft till uppdrag att lägga konkreta lagförslag utan är att se som en strategi för en hållbar upphandling. På några punkter läggs dock förslag om var det skulle behövas lagändring. Ett sådant är att höja gränsen för tillåten direktupphandling till 600 000 kronor, vilket kommunen ställer sig positiv till i förslaget till yttrande. Det finns förslag som kommunen föreslås vara mer avvaktande till, såsom förslaget om att införa en medlingsfunktion som ska medla i branscher där det förekommer många överprövningar. Det är oklart vilken betydelse medlingsfunktionens uttalanden ska ha i förhållande till rättspraxis. I förslaget efterlyser kommunen förslag på åtgärder som kan minska antalet överprövningar som sker av vad man kan kalla rent okynne. Utredningen har inte riktigt förmått koppla ihop att det faktum det är billigt och enkelt att överpröva har en tillbakahållande effekt på den offentli- POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

4 2 (2) ga upphandlingen och förhindrar den utveckling som upphandlingsutredningen i övrigt resonerar kring. Förslaget till yttrande i sin helhet framgår av bilagan. Ekonomiska konsekvenser Det finns inga direkta ekonomiska konsekvenser kopplade till själva yttrandet, men i den mån de förslag som utredningen föreslår blir verklighet kan det både innebära ökade och minskade kostnader. Bilagor Förslag till yttrande Mats Bohman Administrativ direktör Stadsledningskontoret PO Andersson Upphandlingsexpert Inköpsenheten

5 FÖRSLAG TILL YTTRANDE 2013-05-29 1 (4) Regeringen 103 33 STOCKHOLM Yttrande över SOU 2013:12, Goda affärer Nacka kommun avger följande yttrande över slutbetänkande från Upphandlingsutredningen 2010, SOU 2013; goda affärer en strategi för hållbar offentlig upphandling. Grundläggande delar Nacka kommun Upphandlingsutredningens anslag att lyfta upphandlingen som den goda affären - för både anbudsgivare och upphandlande myndigheter. Tyvärr medför den svenska upphandlingslagstiftningen en fokusering på att göra upphandlingar som är formellt korrekta, men kanske inte alltid ger det bästa inköpet för den som upphandlingen. Den svenska lagstiftaren måste hitta ett sätt att förena de grundläggande EU-rättsliga, kraven som ser upphandlingen i princip uteslutande ur anbudsgivarnas perspektiv, med det nationella intresset av att det offentliga kan göra affärer så att medborgarna får det bästa alternativet i upphandlingen. All offentlig upphandling sker ytterst för att tillgodose samhälleliga behov och det är de upphandlande myndigheternas ansvar att i var upphandling avväga hur den bidrar till detta. Nacka kommun vill mot denna bakgrund lyfta särskilt följande frågeställningar i betänkandet. Upphandling och ledarskap Nacka kommun är rädd för att Upphandlingsutredningen förminskar komplexiteten i uppföljning av välfärdstjänster och de tungrodda systemen för att få bort leverantörer som brister i utförandet av tjänsterna, när man lokaliserar brister i de tjänster medborgarna får, till svag ledning inom den upphandlande myndigheten. Nacka kommun betvivlar att fler styrande dokument och fler beslut på hög politisk nivå leder till att det blir enklare att, för att tala rakt på sak, kasta ut leverantörer som inte håller måttet. Dagens system med att stämma den leverantör som inte accepterar att kommunen häver avtalet, i domstol är inte ett effektivt sätt för att förhindra att den som inte sköter sig får fortsätta. Bevisbörda, rättegångskostnader och långa handläggningstider torde vara större hinder än för få styrande dokument. POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

6 2 (4) Inköpssamverkan Nacka kommun är positiv till inköpssamverkan från nationell över regional till lokal nivå. Vissa varor och tjänster kan utan konkurrenshämmande effekter upphandlas på nationell nivå, medan en regional bas är bättre för andra och några upphandlingar absolut bör ske på lokal nivå i en liten samverkande krets eller inom bara den enskilda kommunen. Nacka kommun har tillsammans med Täby och Vaxholms kommuner och SKL Kommentus bildat Stockholms Inköpscentral för att genomföra samordnade upphandlingar, i syfte att åstadkomma besparingar och effektiviseringar samt för att genom inköpssamarbete arbeta på ett mer rationellt sätt. Kommunerna och SKL Kommentus ser att genom att samordna upphandlingar kan synergieffekter uppnås. Det leder till större köparkraft, med möjlighet till mer konkurrenskraftiga upphandlingar jämfört med om varje kommun skulle upphandla sitt behov var för sig. Parterna ser också att rekrytering och kompetensutveckling underlättas genom en samlad upphandlingskompetens i en gemensam verksamhet. Kommunerna kan istället koncentrera sig på att hålla hög beställarkompetens, vilket leder till god kvalitet på det som upphandlas. Dialog i upphandlingar Nacka kommun instämmer i att möjligheterna till dialog i upphandlingarna bör stärkas och håller med om att risken för att bli anklagad för att ha brutit mot regelverket är en hämmande effekt. Att ta itu med att det är alldeles för enkelt och alldeles för billigt att av rent okynne begära överprövning, skulle bidra till att undanröja många av de hinder mot goda affärer som Upphandlingsutredningen har identifierat. Gemensam annonsering Det är viktigt att det blir enkelt för de aktörer som tillhandahåller upphandlingsannonser att bli godkända och listade. Nacka kommun anser att det råder en fungerande situation idag och ser gärna att det så förblir. Höjd gräns för direktupphandling Nacka kommun tillstyrker starkt att gränsen för när man får göra direktupphandlingar höjs. Det gynnar små och medelstora företag som har svårt att hålla kompetens och kapacitet för att lägga anbud ens i upphandlingar under gränsvärdena. Det gynnar också kommunerna som kan spara administration och därmed skattemedel, där de mer omfattande upphandlingsformerna inte ger priser som försvarar kostnaderna för förfarandet. En viktig förutsättning är dock att de riktlinjer som Upphandlingsutredningen föreslår att de upphandlande myndigheterna ska anta, verkligen lämnas till vardera upphandlande myndighet att besluta om. Nacka kommun vill inte se en statlig styrning på ett område där de lokala förutsättningarna i allra högsta grad är avgörande för att åstadkomma en vettig konkurrenssituation för små och medelstora företag.

7 3 (4) Nacka kommun tillämpar redan en modell för att dokumentera direktupphandlingar och tillstyrker utifrån det att det införs en dokumentationsplikt. Det är dock viktigt även här att det inte blir en statlig styrning av en fråga som kommunerna kan hantera inom ramen för sitt självstyre. Beakta enskildas val vid ramavtal Självklart tillstyrker Nacka kommun att det tveklöst ska gå att beakta den enskildes val. Det vore dock ännu bättre att vidga utrymmet för lagen om valfrihetssystem, som är ett bättre instrument för både den som ska få tjänsterna och alla de som vill vara med och leverera dem än lagen om offentlig upphandling. Överprövning tre domstolar Nacka kommun tillstyrker förslaget om att koncentrera upphandlingsmålen till tre förvaltningsrätter och en kammarrätt. Det är dock bara ett litet steg på vägen mot en fungerande överprövning. Det behövs något som reducerar att överprövning begärs vare sig det finns en saklig grund eller inte. Om det ska vara rättegångskostnader eller kännbara ansökningsavgifter som den som vinner en överprövning får tillbaka eller något annat, måste snarast utredas i syfte att lägga förslag på lagstiftning. Risken för överprövningar medför att de upphandlande myndigheterna håller sig till beprövade metoder, oavsett om de ger den bästa affären eller inte. Den effekten försvinner inte genom att överprövningarna sker i en minskad skara förvaltningsrätter även om de i sig blir duktigare både i sak och i att hantera den här typen av mål. Det går inte att avvisa tanken på rättegångskostnader eller avgifter på de grunder som Upphandlingsutredningen gör på knappa två sidor. Man måste kunna göra sådant man inte har gjort förut eller som inte traditionellt har tillämpats i förvaltningsdomstol. Upphandling som måltyp är, enligt Nacka kommuns uppfattning, redan i sig tillräckligt väsenskild från andra måltyper som räknas till förvaltningsprocessen, att man gott kan titta på den här typen av åtgärder för att stämma i bäcken. Nacka kommun är dock mycket tveksam till den föreslagna medlingsfunktionen. Vilken ställning får de åtgärdsförslag/rekommendationer som medlingsfunktionen avger? Vilken betydelse ska de tillmätas? Hur står de i förhållande till domstolarna, som är de enda som har den faktiska rätten att säga vad lagen egentligen innebär i ett visst givet fall? Nacka kommun kan inte se att en medlingsfunktion enligt den i utredningen skisserade modellen, skulle leda till en förbättrad prövning av upphandlingsmålen totalt sett. Det är en aning fascinerande att utredningen tycker att ett medlingsinstitut är mindre artfrämmande för rättsområdet än rättegångskostnader eller ansökningsavgifter. Direktupphandling under överprövning Ja, det måste absolut vara möjligt att göra direktupphandlingar under en pågående överprövning. Kommunerna ska leverera välfärdstjänster till medborgarna och medborgarna

8 4 (4) kan inte ställas utan dem bara för att upphandlingar är ett svårt område och att det fullt berättigat kan finnas skäl att överpröva dem. Miljömässigt och socialt ansvarsfull upphandling Nacka kommun tillstyrker varmt att det ska gå att ställa miljömässiga och sociala krav i upphandlingar. Det är dock inte lätt att ta ställning till hur de resonemang som förs i Upphandlingsutredningen ter sig omsatta i lagstiftning. Nacka kommun bedömer att det redan idag är möjligt att ställa den typen av krav men återigen vill kommunen peka på att överprövningarna kan vara ett hinder mot att miljökrav och sociala krav utvecklas. Nacka kommun är fullt på det klara med att det måste finnas en möjlighet att överpröva upphandlingar men särskilt på dessa områden borde det offentliga tillerkänns någon form av skönsmässigt bedömningsutrymme, om det ska komma till en effektiv utveckling. Nacka dag som ovan Mats Gerdau Kommunstyrelsens ordförande Mats Bohman Administrativ direktör Stadsledningskontoret PO Andersson Upphandlingsexpert Inköpsenheten

9 2013-05-27 TJÄNSTESKRIVELSE KFKS 2012/340-007 1 (1) Kommunstyrelsen Revisionsrapport nr 6 2012 - Översiktlig uppföljning av ett antal områden kopplade till IT Förslag till yttrande till revisorerna Förslag till beslut Kommunstyrelsen antar stadsledningskontorets förslag till svar på revisionsrapport nr 6 2012 - Översiktlig uppföljning av ett antal områden kopplade till IT. Ärendet Revisorerna har genomfört en översiktlig granskning av ett antal områden kopplade till IT. Granskningen har avsett hur beslut om nuvarande avtal fattades, innehållet i gällande avtal samt hur kostnader och avtal följs upp. Revisorerna lämnar flera rekommendationer i rapporten. Stadsledningskontoret redovisar kommentarer till revisorernas rekommendationer och de insatser som görs. Ekonomiska konsekvenser Eventuella kostnader för insatserna hanteras inom ramen för fastställd budget. Bilagor Revisionsrapport nr 6/2012 Svar till revisorerna Mats Bohman Administrativ direktör Stadsledningskontoret POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, 131 81 Nacka Stadshuset, Granitvägen 15 08-718 80 00 info@nacka.se 716 80 www.nacka.se 212000-0167

10 Nacka kommun Revisorerna Revisionsskrivelse 2013-03-26 Till Cc: Kommunstyrelsen Fullmäktiges presidium Revisionsrapport nr 6/2012- Översiktlig uppföljning av ett antal områden kopplat tillit En outsourcing av kommunens!t-system har skett under år 2009. På uppdrag av oss förtroendevalda revisorer har Ernst & Young genomfört en översiktlig granskning som syftar till att belysa hur planeringen för outsourcingen har skett och det beslutsunderlag som legat till grund för beslutet. Vidare att väsentliga parametrar beaktats i avtalet med leverantören ur internkontrollsynpunkt samt säkerhetssynpunkt. Granskningen omfattar också genomgång av ingångna avtal och kontroll/uppföljning av dessa. Vidare konsekvenser av!t-kraschen hösten 2011 och åtgärder för att säkra upp att det inte händer igen. Av rapporten framgår ett antal utvecklingsområden och brister som i vissa fall behöver vara föremål för åtgärder. Nedan lyfts särskift fram ett antal noteringar och rekommendationer från rapporten: Beslutet om att genomföra en outsourcing av IT har hanterats som ett informationsärende i kommunstyrelsen. En så pass verksamhetskritisk och ekonomiskt väsentlig fråga som IT-drift i kommunen utgör, borde enligt vår uppfattning vara föremål för tydligare beslutsunderfag samt tydligare beslut i kommunstyrelsen. Frågan är av sådan principiell beskaffenhet att kommunfullmäktige eventuellt borde ha fattat beslutet. De riskområden som lyfts fram i ijänsteskrivefsen, som låg till grund för informationsärendet i kommunstyrelsen om outsourcing av IT, bedöms vara relevanta men är av så pass väsentlig karaktär att någon form av uppföljning av vidtagna åtgärder borde ha gjorts i kommunstyrelsen innan beslutet sedermera fattades om val av leverantörer. Vidare saknas kostnadsjämförelser för olika alternativ, vilket bedöms vara en brist. Effekter av outsourcing av Nacka kommuns mycket decentraliserade!thantering borde också tydligare ha beskrivits, då en sådan organisation är mer komplex att hantera för en IT-driftleverantör. f samband med beslutet om val av leverantörer i kommunstyrelsen saknas det en tydlig redovisning av bedömda ekonomiska effekter av avtalen med de valda leverantörerna i förhållande till aktuell kostnadsnivå. Vidare saknas återkoppling och beskrivningar till vilka kvalitetsförbättringar som de nya avtalen innebär.

11 l bifogad rapport lämnas följande fyra rekommendationer med förslag till utveckling av gällande avtal med Tieto, som bör beaktas av kommunstyrelsen: o o o o Kontraktet bör inkludera en revisionsklausul Gemensamma rutiner och processer bör inkluderas i kontraktet för att säkerställa att internkontroll och säkerhet är tydligt avtalat. Ansvar och kontroller avseende exempelvis backup och ändringshantering måste tydliggöras i kontraktet, liksom rutiner för att följa upp efterlevnaden av kontrollerna. Nacka kommun bör genomföra en detaljerad genomgång av säkerheten i upprättade rutiner och processer som skall säkerställa en fungerande samverkan. Kontraktet bör inkludera instruktioner för hur personuppgifter får behandlas av personuppgiftsbiträdet, likaså bör kontraktet definiera lägsta nivå av tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Det saknas en konsoliderad kostnadsuppföljning av!t-kostnaderna i kommunen. Kommunen bör införa någon form av systematisk samlad uppföljning och analys av!tkostnaderna. Merkostnaden på såväl central som fokal nivå som är kopplad till den stora valfrihet som finns vad gäller val av datorer, system och program behöver specificeras och i förekommande fall budgeteras. Innan inköp av datorer, system och program sker i verksamheterna bör det införas rutiner som säkerstäfler att personal på central nivå med!t-kompetens kring kommunens samfade!t-miljö och driftsavtal gör en dokumenterad bedömning av totala kostnadseffekter samt upplyser verksamheterna om eventuella begränsningar som kan finnas bl a vad gäller uppkoppling och åtkomst till centrala nät. Revisionen står givetvis till förfogande för att besvara eventuella frågor. Vi önskar svar från kommunstyrelsen på de noteringar och rekommendationer som framgår av rapporten. Svar önskas senast till den 31 maj 2013. För revisorerna i Nacka kommun ~~j:~ rk-~ru-- Birger Berggren' Ordförande ~fr/jt>fi/vf e \_~vonne Wessman Vice ordförande!je--~ Bilaga: Revisionsrapport nr 6/2012 - Översiktlig uppföljning av ett antal områden kopplat tillit

12 Revisionsrapport 6/2012 Genomförd på uppdrag av revisorerna Januari/februari 2013 Nacka kommun Översiktlig uppföljning av ett antal områden kopplat till IT Mikael Sjölander T obias Hermansson S!/ frnst & YOUNG Qua/ity In Everything We Do

13 aj/ frnst & YOUNG Qua/ity In Everything We Do Innehåll 1 Inledning... 3 1.1 Bakgrund........................ 3 1.2 Syfte och revisionsfrågor........................................... 3 1.3 Metod............................................................... 3 1.4 Kort beskrivning av!t-organisationen i Nacka kommun................... 3 2 Har beslutsunderlagen varit tillräckliga och relevanta ur internkontrollsynpunkt och säkerhetssynpunkt i samband med outsourcing av!tverksamheten... 5 2.1 Protokoll och beslutsunderlag.................................... 5 2.2 Genomgång av avtal med Tieto gällande drift................................... 6 3 Vilka åtgärder har vidtagits med anledning av IT -kraschen under hösten 2011 hos Tieto... 9 4 Finns en analys av orsakerna till att IT -kostnaderna avviker väsentligt från budget... 10 2

14 i1j ERNST & YOUNG Qua/ity In Everything We Do 1 Inledning 1.1 Bakgrund En outsourcing av kommunensit-system har skett under år 2009. En översiktlig granskning genomförs som syftar till att belysa hur planeringen för detta har skett och det beslutsunderlag som legat till grund för beslutet. Vidare att väsentliga parametrar beaktats i avtalet med leverantören ur internkontrollsynpunkt samt säkerhetssynpunkt. En granskning genomförs också med avseende på ingångna avtal och kontroll/uppföljning samt konsekvenser av!t-kraschen föregående höst och åtgärder för att säkra upp att det inte händer igen. 1.2 Syfte och revisionsfrågor Syftet med granskningen är att bedöma om beslutsunderlagen varit tillräckliga och relevanta ur internkontrollsynpunkt och säkerhetssynpunkt i samband med outsourcing av!t-verksamheten. Vidare att kartlägga vilka åtgärder som vidtagits med anledning av!tkraschen under hösten 2011 hos Tieto. Granskningen omfattar också en översiktlig analys av orsakerna till att!t-kostnaderna avviker väsentligt från budget. Granskningen utgår från följande tre huvudsakliga revisionsfrågor: Har beslutsunderlagen varit tillräckliga och relevanta ur internkontrollsynpunkt och säkerhetssynpunkt i samband med outsourcing av!t-verksamheten. Vilka åtgärder har vidtagits med anledning av!t-kraschen under hösten 2011 hos Tieto. Finns en t illräcklig analys av orsakerna till att!t-kostnaderna avviker väsentligt från budget. 1.3 Metod Granskningen baseras, förutom på skriftliga beslutsunderlag och ingångna avtal, på intervjuer med!t-ansvariga inom kommunen. 1.4 Kort beskrivning av!t-organisationen i Nacka kommun Administrativa direktören har på stadsdirektörens uppdrag det övergripande ansvaret för IT frågor i kommunen. Under den administrativa direktören finns det två enheter som centralt arbetar med IT-frågor. /T-enheten under ledning av!t-strategen arbetar med avtal som kommunen har, se till att de följs och utvecklas. Enheten ansvarar för utvecklingen av!t-infrastrukturen så att den stödjer verksamheternas drift och utveckling. Enheten ger verksamheter och enheter stöd i strategiska!t-frågor. Enheten har 6 tjänster inkl!t-strategen. Servicecenter leds av enhetschefen för serviceenheten (i enheten ingår även intendenturen). Serviceenheten är första linjen för alla frågor från medarbetare när det gäller IT och andra 3

15 i!j frnst & YOUNG Qua/ity In Everything We Do frågor. Enheten tar emot felanmälningar, hjälper till med beställningar, följer upp att fel åtgärdas och inom vilken tid det sker. Medarbetarna behöver ta en kontakt när de har problem. Sedan sköter servicecenter alla kontakt med leverantör och interna enheter. Verksamheterna och enheterna har ofta en eller flera personer som ansvarar för!t-frågor. De kan ha olika roller beroende på behov och omfattning av verksamhet. Exempelvis kan de vara systemförvaltare, ansvariga för hur IT stödjer utvecklingen av verksamheten m m. Dessa hör organisatoriskt till den verksamhet/enhet som de arbetar vid. Både!T-enheten och servicecenter har kontakt med dessa personer både i olika grupperingar och enskilt. 4

16 i!/ ERNST & YouNG Qua/ity In Everything We Do 2 Har beslutsunderlagen varit tillräckliga och relevanta ur internkontrollsynpunkt och säkerhetssynpunkt i samband med outsourcing av Il-verksamheten. Granskningen av beslutsunderlagen har dels omfattat en genomgång av relevanta protokoll i kommunstyrelsen kopplat till outsourcingen av IT, dels en genomgång av avtalen med Tieto. Genomgången av avtalen med Tieto gällande driftavit-miljö har skett av en anställd hos Ernst & Young med specialistkompetens inom!t-området. De handlingar som omfattats av genomgången framgår av bilaga 1. 2.1 Protokoll och beslutsunderlag Inom ramen för granskningen har vi begärt att få ta del av samtliga beslut som fattats i Kommunfullmäktige och Kommunstyrelsen kring outsourcing avit-drift och!tarbetsplatser. Något beslut kring outsourcingen har inte fattats i kommunfullmäktige. Den 9 februari 2009 behandlar Kommunstyrelsen ett informationsärende som benämns "Utveckling av kommunens IT-drift". Kommunstyrelsen beslutar att notera informationen till protokollet. Handlingar i ärendet är dels protokollsutdrag från arbetsutskottet den 27 januari 2009, 18, dels stadsledningskontorets tjänsteskrivelse den 8 januari 2009. Av tjänsteskrivelsen framgår att kraven på tillgänglighet och omfattning på driften ökar väsentligt och att det inte bedöms vara effektivt att kommunen själv bygger ut den service och support som krävs för att möta de ökade kraven. Därför föreslås att en upphandling av drift av gemensamma system bör genomföras. Vidare föreslå att även!t-arbetsplatser bör upphandlas. Arbetsutskottets beslut är att föreslå att kommunstyrelsen noterar informationen till protokollet. Beslutet att outsourca IT har sålunda hanterats som ett informationsärende på politisk nivå. Av protokollet framgår att: "Katja Ny/und (s) antecknade följande till protokollet: "Vi i Socialdemokraterna anser att Nacka kommuns!t-avdelning är oerhört viktig, har höga krav på sig och måste fungera väldigt väl. Därför skall det göras en grundlig utredning om hur!t-avdelningen skall se ut i framtiden. Skall det bedrivas i egen regi eller upphandlas? Vad finns det för nackdelar och fördelar med de olika alternativen, t ex tillgänglighet, kostnader, risker, kompetens, geografisk placering etc. Detta bör redovisas till Kommunstyrelsen som skall få fatta beslut om hur man skall göra i frågan. Vi anser inte att tjänstemännen skall fatta ett sådant beslut själva." Av tjänsteskrivelsen framgår att bedömda kostnader för att genomföra upphandlingen uppgår till ca 2 500 tkr. Projektägare är Mats Bohman med en styrgrupp bestående av biträdande stadsdirektör och övriga direktörer. 5

17 fll ERNST & YOUNG Qua/ity In fverything We Do l skrivelsen ingår en riskanalys där sex riskområden lyfts fram. En kortfattad åtgärdsplan redovisas per riskområde. Bland de risker som lyfts fram finns "det saknas idag till stor del preciserade krav för systemdrift", "det saknas helhetsbild vad avser kommunens nätverk med tanke på kapacitet och behov", "varierande syn på vilka SLA-nivåer som krävs", m m. När upphandlingen genomförts fattar kommunstyrelsen den 30 november 2009 beslut om att anta leverantör dels för drift av kommunens IT-system (Tieto), dels för kommunens arbetsplatser (Atea). Det framgår av ärendet att "Kostnadsmässigt innebär båda anbuden att kommunen kommer att få mer värde för samma kostnad som idag", Våra bedömningar: En så pass verksamhetskritisk och ekonomiskt väsentlig fråga som IT-drift i kommunen utgör, borde enligt vår uppfattning vara föremål för tydligare beslutsunderlag samt tydligare beslut i kommunstyrelsen. Frågan är av sådan principiell beskaffenhet att kommunfullmäktige eventuellt borde ha fattat beslutet. De riskområden som lyfts fram i skrivelsen, som låg till grund för informationsärendet, bedöms vara relevanta men är av så pass väsentlig karaktär att någon form av uppföljning av vidtagna åtgärder borde ha gjorts i kommunstyrelsen innan beslutet sedermera fattades om val av leverantörer. Vidare saknas kostnadsjämförelser för olika alternativ, vilket bedöms vara en brist. Effekter av outsourcing av Nacka kommuns mycket decentraliserade!t-hantering borde också tydligare ha beskrivits, då en sådan organisation är mer komplex att hantera för en IT -driftleverantör. l samband med beslutet om val av leverantörer i kommunstyrelsen saknas det en tydlig redovisning av bedömda ekonomiska effekter av de båda avtalen i förhållande till aktuell kostnadsnivå. Vidare saknas återkoppling och beskrivningar till vilka kvalitetsförbättringar som de nya avtalen innebär. 2.2 Genomgång av avtal med Tieto gällande drift l bilaga 1 framgår de dokument som legat till grund för granskningen. Våra bedömningar: Vår erfarenhet vid granskning av outsourcing av IT-drift är att detta är ett komplext område och att många organisationer/bolag har svårt att förutse vilken nivå på kravställandet som avtalen behöver ha för att säkerställa en rimlig nivå av säkerhet för den outsourcande parten beträffande vad som ingår respektive inte ingår i avtalad leverans. 6

18 i!j ERNST & YOUNG Qua/ity In Everytbing We Do Det kan konstateras att det ursprungliga avtalet med Tieto var av övergripande karaktär och att det snabbt uppstod frågeställningar om vad som ingick respektive inte ingick i upphandlingen av IT -drift. Vidare finns begrepp i det ursprungliga avtalet som normalt inte används vid outsourcing av!t-drift (främst" begreppet systemdrift") vilket kan vara en bidragande orsak till oklarheterna som initialt uppstod. Ett stort antal tilläggsavtal har därför tillkommit vilket gör att den samlade bilden av avtalsrelationerna är relativt svåröverskådlig. Enligt uppgift från!t-ansvariga inom kommunen är man dock nu överens med Tieto i alla väsentliga avseenden om vad som ingår respektive inte ingår i avtalad leverans. Samarbetet med Tieto fungerar väl och Tietas personal finns kontinuerligt på plats i Nacka kommunhus för genomgångar och avstämningar avseende såväl strategiska och taktiska som tekniska frågor. Samverkan med Tieto bedöms fungera väl i praktiken men det återstår att tydligare dokumentera ansvar och roller. En grundläggande brist i det ursprungliga avtalet är att detta är anpassat för en mer homogen leverans av!t-drift än den som Nackas långtgående decentraliserade!torganisation renderar (se mer om detta under rubriken 5). Vår granskning av avtal med bilagor visar på följande svagheter ur internkontroll- och säkerhetssynpunkt: Det saknas en revisionsklausul i kontraktet, som säkerställer att leverantören skall ställa upp på genomförande av revision av leverantörens kontraktsuppfyllande om Nacka kommun så önskar. Kontraktet beskriver endast samverkan mellan Tieto och Nacka kommun på en översiktlig nivå. l bilaga till avtalet beskrivs Samverkansmodell. Där framgår att parterna gemensamt skall ta fram beskrivningar av gemensamma rutiner och processer där sådana inte finns beskrivna. För exempelvis ändringshantering beskrivs att ändringar ska följa ITIL eller motsvarande process för ändringshantering, men det finns ingen beskrivning av ansvar och kontroller. l bilaga till avtalet finns "Tjänstebeskrivning Systemdrift" som beskriver att det i tjänsterna även ingår hantering av säkerhet, backup och återskapande av information, dokumentation samt ändringshantering. Det finns ingen beskrivning av vad detta innebär. Personuppgiftsbiträdesavtalet beskriver att personuppgiftsbiträdet och den eller de personer som arbetar under dennes ledning endast får behandla personuppgifter i enlighet med de instruktioner som anges i Huvudavtalet eller som från tid till annan lämnas av Nacka kommun. Vi har inte identifierat att några instruktioner har angivits i kontraktet. Vidare beskrivs att personuppgiftsbiträdet skall vidta skäliga tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Dessa åtgärder finns inte beskrivna. 7

19 i!j frnst & YOUNG Qua/ity In Everytbing We Do För att säkerställa en god internkontroll och säkerhet lämnar vi följande rekommendationer: Kontraktet bör inkludera en revisionsklausul Gemensamma rutiner och processer bör inkluderas i kontraktet för att säkerställa att internkontroll och säkerhet är tydligt avtalat. Ansvar och kontroller avseende exempelvis backup och ändringshantering måste tydliggöras i kontraktet, liksom rutiner för att följa upp efterlevnaden av kontrollerna. Nacka kommun bör genomföra en detaljerad genomgång av säkerheten i upprättade rutiner och processer som skall säkerställa en fungerande samverkan. Kontraktet bör inkludera instruktioner för hur personuppgifter får behandlas av personuppgiftsbiträdet, likaså bör kontraktet definiera lägsta nivå av tekniska och organisatoriska åtgärder för att skydda personuppgifter mot obehörig åtkomst, förstörelse och ändring. Vår granskning visar även på en del oklarheter avseende använda begrepp och formuleringar, liksom hur incitamentsmodell och viten skall tolkas. Vi rekommenderar Nacka kommun att tillsammans med Tieto finna en lösning för att konkretisera kontraktet utifrån innehållet i denna rapport. Vi rekommenderar vidare att Nacka kommun i kommande upphandling av!t-drift (avtalet löper ut 2015) ställer mer specificerade och tydliga krav på tjänsterna. Detta bekräftas också vara planerat av intervjuade tjänstemän inför kommande upphandling. Även om revisionskrav inte har ställts i avtalet så har kommunen begärt granskning av miljön efter den!t-krasch som skedde hösten 2011. Tieto har inte motsatt sig sådan granskning utan har medverkat och även finansierat delar av granskningen. 8

20 i.!/ frnst & YOUNG Qua/ity In Everything We Do 3 Vilka åtgärder har vidtagits med anledning av Il-kraschen under hösten 2011 hos Tieto Nacka kommun drabbades väsentligt av den "!T-krasch" som uppkom hos Tieto hösten 2011. Nacka kommun krävde, liksom andra drabbade organisationer/företag förklaring av orsakerna till haveriet samt ställde ut ett skadeståndskrav. Kommunen krävde även beskrivning från Tieto av hur miljön såg ut samt verifiering av hur miljön kunde anses vara säker. Tieto hänvisade till att miljöns utformning till delar avser affärshemligheter varför någon fullständig beskrivning av orsakerna till haveriet inte har lämnats. Tieto har dock enligt uppgift varit mycket tillmötesgående i att omförhandla avtal, utveckla och dokumentera katastrofplanering för väsentliga system, samt har redogjort för hur miljön på övergripande nivå är utformad, för att i hög grad säkerställa systemens funktionalitet hos Nacka kommun vid eventuell krasch. Kommunen har erhållit dels ett ekonomiskt skadestånd, dels en stor del av ovan beskriven utökad service utan kostnad. Kommunens tjänstemän inom IT bedömer att de åtgärder som vidtagits medfört betydligt högre säkerhet i!t-driftens kontinuitet. Vid kommande upphandling av drift kommer kommunen enligt uppgift att i ökad utsträckning kräva beskrivningar av hur miljön är utformad för att vara säker, istället för att endast kräva bekräftelse på att den är säker. 9