Ekonomistyrningsverket Granskning av upphandlade e-handelstjänster 2015-03-29
Innehåll 1 Sammanfattning... 3 2 Uppdrag... 4 3 Bakgrund... 4 4 Genomförande... 4 5 Avgränsningar... 5 6 Resultat... 5 Granskning utförd av: Ernst & Young AB Granskningsperiod: oktober 2014-januari 2015 Mottagare: Ekonomistyrningsverket Eva Ringman Ekonomistyrningsverket: Granskning av upphandlade e-handelstjänster 2
1 Sammanfattning Ekonomistyrningsverket (ESV) har anlitat Ernst & Young AB (EY) för att granska intern kontroll hos leverantörerna CGI Sverige AB (CGI) och Visma Commerce AB (Visma) baserat på ett urval av de krav som myndigheten ställt i samband med upphandling av e-handelstjänster och god praxis inom området. Granskningen har utförts genom att tillsammans med leverantörerna och tre referensmyndigheter som utnyttjar tjänster under ramavtalet insamla tillräckligt med underlag för att identifiera förbättringsområden i intern kontroll utifrån ett urval av de krav som ställdes i samband med upphandlingen och utifrån god praxis inom informationssäkerhet. Granskningen har visat att de båda leverantörerna i stort har en nivå på intern kontroll som är i linje med motsvarande andra bolag i samma bransch. Däremot har varje leverantör ett antal områden med förbättringspotential. Dessa områden har diskuterats tillsammans med ESV. Ekonomistyrningsverket: Granskning av upphandlade e-handelstjänster 3
2 Uppdrag Ekonomistyrningsverket (ESV) har anlitat Ernst & Young AB (EY) för att granska intern kontroll hos leverantörerna CGI Sverige AB (CGI) och Visma Commerce AB (Visma) baserat på ett urval av de krav som myndigheten ställt i samband med upphandling av e-handelstjänster och god praxis inom området. Uppdraget har utförts genom avrop med dnr 2.5.1-927/2014 på ramavtalet med dnr 2.5.1-289/2014. 3 Bakgrund ESV är en statlig förvaltningsmyndighet under Finansdepartementet som utvecklar resultatstyrning och finansiell styrning, vilka är de instrument staten använder för att styra myndigheter. I detta ansvar ingår också upphandling av ramavtal för administrativa stödsystem och att samordna statens arbete med e-handel. Med anledning av detta har ESV tecknat ramavtal för e-handelstjänster med leverantörerna Logica Sverige AB (nu CGI Sverige AB) och Visma Proceedo AB (nu Visma Commerce AB) som statliga myndigheter och vissa andra namngivna organisationer i den statliga inköpssamordningen kan göra avrop mot. I samband med upphandlingen av dessa ramavtal 2009 ställde ESV ett antal skallkrav som var obligatoriska för leverantörerna att uppfylla och ett antal bör-krav som kunde uppfyllas för att reducera utvärderingspriset. För att de levererade tjänsterna ska vara ändamålsenliga för de avropande organisationerna är det viktigt att de krav som ställdes i samband med upphandlingen verkligen uppfylls av de tjänster som levereras. 4 Genomförande I förberedelsefasen har ESV i samråd med EY beslutat att granskningen, i de fall det har varit nödvändigt att beakta specifika implementeringar av e-handelslösning, ska fokusera på de lösningar som används av tre utvalda referensmyndigheter som utnyttjar tjänster under ramavtalet. Vidare valdes de 32 kraven som granskningen har omfattat ut av EY genom kvalificerad bedömning och stämdes sedan av med ESV innan granskningen påbörjades. Urvalet gjordes på ett sådant sätt att de krav som har inkluderats är av en sådan karaktär att det är svårt för en myndighet att, genom ordinarie verksamhet, identifiera avvikelser från kravställningen. Sådana krav kan Ekonomistyrningsverket: Granskning av upphandlade e-handelstjänster 4
exempelvis vara direkt kopplade till leverantörens interna arbetssätt eller beröra applikationskontroller inbyggda i den levererade lösningen. Efter beslut om referensmyndigheter och lämplig omfattning avseende krav, har granskningen utförts genom att tillsammans med leverantörerna CGI och Visma samt referensmyndigheterna insamla tillräckligt med underlag för att identifiera avvikelser i den interna kontrollen. Detta har gjorts genom en kombination av att observera den levererade lösningens funktionalitet, att manuellt utföra systemets beräkningar och att inspektera befintlig dokumentation av rutiner och kontrollutförande. Enligt instruktioner från ESV har granskningen haft utgångspunkten att de levererade e-handelslösningarna ska kunna uppfylla de utvalda kraven, men att leverantörerna inte ska sägas brista i sin kravuppfyllnad om en myndighet väljer att göra avsteg i sin användning 1. 5 Avgränsningar För denna granskning har följande avgränsningar gjorts: 1. Några av de granskade kraven avser att reglera leverantörens framtida hantering, exempelvis bevarande av räkenskapsinformation och överlämning efter avropsavtalets giltighet (krav A-01.02.02). För denna typ av krav har endast leverantörens rutiner och avsikter vid granskningstillfället beaktats, d.v.s. inte de framtida. 2. Granskningen har baserats på intervjuer och stickprovstester i den levererade tjänsten. Denna ansats, i kombination med ett begränsat urval av krav, är i sig inte tillräcklig för att identifiera samtliga brister som skulle kunna förekomma. Granskningens omfattning syftar till att kunna identifiera de mest kritiska bristerna. 6 Resultat Granskningen har visat att de båda leverantörerna i stort har en nivå på intern kontroll som är i linje med motsvarande andra bolag i samma bransch. Däremot har varje leverantör ett antal områden med förbättringspotential. Dessa områden har diskuterats tillsammans med ESV. 1 T.ex. genom att välja att konfigurera systemet på ett mindre säkert sätt eller att välja att ha integration med varu- eller tjänsteleverantörer som inte kan föra över information på ett säkert sätt. Ekonomistyrningsverket: Granskning av upphandlade e-handelstjänster 5