23.10.2023
Þann 10. mars 2022 samþykkti Alþingi, með vísan til 17. gr. laga nr. 46/2016 um ríkisendurskoðanda og endurskoðun ríkisreikninga, beiðni um stjórnsýsluendurskoðun á samningi íslenska ríkisins við Microsoft, sbr. þskj. 628, 152. löggjafarþing
Fjármála- og efnahagsráðuneyti gerði árið 2018 heildarsamning við Microsoft um hugbúnaðarleyfi fyrir A-hluta stofnanir íslenska ríkisins. Gerðir voru tveir samningar, annar fyrir menntastofnanir, hinn fyrir almennar A-hluta stofnanir. Samningarnir voru endurnýjaðir til fimm ára vorið 2021.
Með gerð heildarsamninga var tekin ákvörðun um að stofnanir ríkisins skyldu skipuleggja og samræma nýtingu á hugbúnaðar- og rekstrarlausnum Microsoft þvert á ríkisreksturinn. Þá var ætlunin að lækka kostnað með sameiginlegum innkaupum, bæta yfirsýn yfir notkun hugbúnaðar og kostnað vegna hans, minnka rekstraráhættu og auka einsleitni og samrekstur við umsýslu ríkisins á sviði upplýsingatækni. Innleiðing heildarsamnings ríkisins við Microsoft felur í sér breytingu í átt að auknum samrekstri hvað snýr að upplýsingakerfum- og skrifstofuumhverfi stofnana ríkisins og er þátttaka ekki valkvæð af hálfu stofnana. Með samningunum var því horfið frá dreifstýrðu fyrirkomulagi hugbúnaðar- og upplýsingatæknimála sem einkenndi ríkisreksturinn áratugum saman. Við þetta urðu ábyrgðarmörk milli ráðuneytis sem umsjónaraðila og einstakra stofnana óljós þegar kemur að ákvörðunum og vali á tæknilausnum, fyrirkomulagi og útgjöldum vegna þeirra.
Heildarsamningur við Microsoft hefur hins vegar aukið yfirsýn stjórnvalda á gildandi leyfum og þar með dregið úr rekstraráhættu sem m.a. fólst í ólöglegri notkun hugbúnaðar af hálfu ríkisaðila. Þá hefur áhættuþáttum fyrir ríki í heild fækkað og gagnaöryggi og öryggi upplýsingakerfa almennt aukist. Eftir sem áður er gagnaöryggi viðvarandi viðfangsefni allra ríkisaðila. Ekki er mögulegt að fullyrða um hvort sá vænti fjárhagslegi ávinningur sem fjármála- og efnahagsráðuneyti kynnti í kjölfar undirritunar samningsins hafi í raun náð fram að ganga. Þrátt fyrir það má fullyrða að innleiðing samræmds skrifstofuhugbúnaðar hafi gefið góða raun fyrir rekstur ríkisstofnana í heild og m.a. átt þátt í skjótum viðbrögðum þeirra í tengslum við Covid-faraldurinn.
Skortur á undirbúningi, veik samningsstaða ríkisins
Við úttekt Ríkisendurskoðunar komu ekki fram gögn sem sýna með afgerandi hætti að samningsmarkmið íslenska ríkisins hafi verið skjalfest fyrir samningagerðina. Að sama skapi voru ekki skilgreind hlutlæg árangursviðmið sem fylgt yrði eftir af skilgreindum ábyrgðaraðila í því skyni að meta ávinning samninganna. Þrátt fyrir greiningar á stöðu og notkun ríkisstofnana á Microsoft-hugbúnaði áður en gengið var til samninga við Microsoft var ekki gerð heildstæð þarfagreining meðal allra stofnana. Þá var heildaryfirsýn yfir raunkostnað stofnana vegna hugbúnaðarleyfa og upplýsingatækni brotakennd. Fram kemur í könnun Ríkisendurskoðunar meðal forstöðumanna A-hluta stofnana að almennt telja forstöðumenn að skort hafi á þarfagreiningu og samráð við stofnanir áður en gengið var til samninga við Microsoft.
Af þeim gögnum að dæma sem Ríkisendurskoðun hefur aflað var samningsstaða ríkisins gagnvart Microsoft að sumu leyti veikburða, m.a. vegna skorts á heildaryfirsýn yfir notkun leyfa, þ.m.t. yfir heildarkostnað og lögmæti hugbúnaðar í notkun. Álíta má að staða Microsoft hafi jafnframt verið sterk þar sem útbreiðsla og notkun Microsoft-hugbúnaðar var þegar mikil hjá íslenska ríkinu og verulegur kostnaður og óhagræði hefði fylgt að skipta þeim hugbúnaði út. Þá hafði sá skammi tími sem ríkið hafði til að ljúka samningagerð, eftir að formlegar viðræður hófust við Microsoft, neikvæð áhrif á samningsstöðu þess.
Ekki liggja fyrir gögn um könnun á mögulegri útboðsskyldu
Fjárhæð samningsins við Microsoft var yfir þeirri viðmiðunarfjárhæð sem tilgreind er í lögum um opinber innkaup nr. 120/2016. Við úttekt Ríkisendurskoðunar var kallað eftir upplýsingum frá fjármála- og efnahagsráðuneyti um hvernig íslenska ríkið hefði uppfyllt skyldur sínar samkvæmt lögunum þegar gerður var samningur við Microsoft. Ráðuneytið vísaði til þess að þegar hafi verið í gildi rammasamningur um Microsoft hugbúnaðarleyfi og að samningaviðræður ríkisins við Microsoft hafi eingöngu snúist um viðbótarafslátt umfram þá afslætti sem þjónustuaðilar einstakra ríkisaðila hefðu þegar veitt í gegnum þann samning. Ekki hafi því verið um innkaupasamning að ræða. Jafnvel þótt fallist væri á það sjónarmið telur Ríkisendurskoðun að með samningi sínum við Microsoft hafi fjármála- og efnahagsráðuneyti samið fyrir hönd íslenska ríkisins um bæði magn og verð tiltekinnar vöru og þjónustu. Með gerð samningsins hafi verið tekin ákvörðun um hvernig ríkisaðilar skyldu haga innkaupum sínum á samhæfðum skrifstofuhugbúnaði og þeim í raun gert skylt að nýta fyrirliggjandi rammasamninga um Microsoft notendaleyfi. Að mati Ríkisendurskoðunar hefði það verið í samræmi við góða starfshætti að fjármála- og efnahagsráðuneyti hefði, áður en ráðist var í þá grundvallarbreytingu að miðstýra innkaupum allra ríkisaðila á þessu sviði, að kanna með ítarlegri og formlegri hætti hvort um útboðsskyldu væri að ræða og hvort aðrir framleiðendur gætu boðið samkeppnishæfa vöru.
Vanmetið umfang innleiðingar
Undirbúningur fyrir innleiðingu samninganna, samhliða vinnu að samningagerðinni, var takmarkaður. Umfang innleiðingar var að mati Ríkisendurskoðunar verulega vanmetið af hálfu fjármála- og efnahagsráðuneytis hvað varðar tíma, kostnað og tæknilegt flækjustig. Þannig var grunninnleiðingu meirihluta stofnana ríkisins ekki lokið fyrr en á árinu 2021. Eftir undirritun 2018 var hafist handa við hönnun hugbúnaðarumhverfis stofnana innan samningsins. Ákveðið var að ríkisaðilum yrði komið fyrir innan níu aðskildra skýjageira sem reknir eru af sjö rekstraraðilum en sú ákvörðun um grundvallarhönnun umhverfisins var ekki tekin fyrr en seint á árinu 2018.
Við hönnun var horft til þess að ná fram stærðarhagkvæmni með sameiginlegum rekstri skýjageira en tryggja jafnframt nauðsynlegan aðskilnað m.t.t. þrískiptingar ríkisvaldsins. Ráðast þurfti í mikla vinnu við tæknilega innviði og upplýsingatækni svo stofnanir gætu nýtt samninginn. Við samningagerðina voru þeir innviðir ekki að öllu leyti til staðar. Í viðtölum sem Ríkisendurskoðun átti við aðila sem tóku þátt í innleiðingunni kom fram að einn af veikleikum ferlisins var hversu fámennur hópur sérfræðinga þurfti að draga vagninn.
Ólík staða stofnana og lítil aðkoma fagráðuneyta
Stofnanir voru mjög misjafnlega í stakk búnar að innleiða lausnir Microsoft-samninga og notkun skýjageira í starfsemi sína. Sumar stofnanir höfðu þegar tekið upp notkun viðkomandi tæknilausna, aðrar þurftu að byrja frá grunni. Margar stofnanir reka ýmis konar sérhæfðar tæknilausnir vegna sinna verkefna, auk þess sem tækniþekking er mismunandi milli stofnana. Aðkoma fagráðuneyta og stuðningur við innleiðingu var í flestum tilfellum hverfandi.
Töluverður kostnaður hefur fylgt aðlögun og innleiðingu vegna kaupa á vörum og þjón-ustu. Dæmi eru um stofnanir sem nýlega höfðu gert samninga við Microsoft um hugbúnaðarleyfi og lentu þannig í aukakostnaði vegna skörunar þeirra samninga sem ríkið gerði og þess sem stofnunin var sjálf búin að gera. Við endurnýjun samnings árið 2021 var ákveðið að auka einsleitni og mæta auknum kröfum um öryggi með því að kaupa viðameiri leyfi (E5) fyrir allar stofnanir. Fram hefur komið gagnrýni á að sú ákvörðun hafi verið ótímabær og keypt hafi verið dýrari leyfi en þörf krafði.
Mótstöðu gætti frá nokkrum stofnunum við innleiðingu og voru ýmsar ástæður fyrir því að stofnanir innleiddu ekki samninginn, ýmist í heild eða að hluta. Enn eru stofnanir sem ekki hafa innleitt Microsoft-samninginn og fjölmörg dæmi eru um að stofnanir nýti ekki til fulls þær lausnir sem í boði eru innan samningsins. Ríkisendurskoðun telur brýnt að fjármála- og efnahagsráðuneyti vinni markvisst með þeim stofnunum og fagráðuneytum þeirra og skapi nauðsynlegar forsendur fyrir eðlilegri þátttöku í sameiginlegum rekstri Microsoft-umhverfis ríkisstofnana.
Lágmarka þarf sóun og auka hagræði
Fjársýsla ríkisins hefur með miðlægum hætti haldið utan um úthlutun leyfa til rekstraraðila skýjageira á grundvelli árlegrar talningar hverrar stofnunar. Árið 2022 var beinn kostnaður almennra stofnana í A-hluta vegna Microsoft notendaleyfa að meðaltali um 0,66% af rekstrarfjárveitingu þeirra en meðal menntastofnana var hlutfallið að meðaltali um 0,36%. Beinn kostnaður vegna notendaleyfa sem hlutfall af rekstrarfjárveitingu hefur farið vaxandi undanfarin ár. Í könnun sem gerð var meðal forstöðumanna stofnana kom fram að 36,7% þeirra töldu áhrifin af breyttu fyrirkomulagi væru neikvæð í rekstrarlegu tilliti en 44,9% töldu þó áhrifin á starfsemina í heild jákvæð.
Upphaflega var hverri stofnun gert að greiða Fjársýslunni fyrir leyfin skv. reikningi. Eftir að innheimta reyndist ekki nægilega góð var ákveðið af fjármála- og efnahagsráðuneyti að draga fjárhæðina að tveimur þriðju hlutum frá rekstrarfjárveitingu viðkomandi stofnunar en innheimta áfram þriðjung samkvæmt reikningi. Þetta fyrirkomulag er að mati Ríkisendurskoðunar til þess fallið að draga úr gagnsæi þar sem bókfærður rekstrarkostnaður ríkisaðila endurspeglar þannig ekki raunverulegan kostnað.
Innheimta vegna samninganna hófst strax við gildistöku þeirra og fyrir flestar stofnanir þýddi það hærri leyfakostnað auk þess sem í sumum tilfellum liðu tvö til þrjú ár þar til mögulegt var að nýta þær lausnir sem greitt var fyrir. Í því ljósi bar nokkuð á óánægju stofnana í upphafi auk þess sem erfitt reyndist að fá fram réttar talningar á leyfum í samvinnu við Fjársýsluna. Líkt og fram hefur komið hafa nokkrar stofnanir enn ekki innleitt samninginn og eru jafnvel enn að sækja með sjálfstæðum hætti sambærilega þjónustu frá Microsoft. Jafnframt eru dæmi um að tilteknir þjónustuþættir eða vörur innan samningsins séu ekki nýttar en þess í stað sé sambærilegra lausna aflað frá þriðja aðila. Þessi staða felur í sér að ríkið greiðir í einhverjum tilfellum tvisvar fyrir sömu vöruna, með tilheyrandi sóun, þ.e. stofnun greiðir fyrir notkun hugbúnaðarleyfa sem samið hefur verið um sérstaklega og að auki greiðir stofnunin sinn hlut í Microsoft-samningi sem gerður var fyrir ríkið í heild. Þá er það sjálfstætt úrlausnarefni þegar starfsmaður starfar hjá fleiri en einni rekstrareiningu ríkisins. Til þessa hefur þurft að stofna sérstakan aðgang fyrir viðkomandi í öllum starfsstöðvum sem sá aðili starfar fyrir og eru því mörg dæmi um að greitt sé oftar en einu sinni fyrir hugbúnaðarleyfi fyrir sama einstaklinginn. Þetta síðastnefnda er til skoðunar að sögn fjármála- og efnahagsráðuneytis. Ríkisendurskoðun telur nauðsynlegt að bæta úr framangreindum atriðum og að allra leiða verði leitað til að lágmarka sóun. Þá er brýnt að stofnanir, viðkomandi fagráðuneyti, rekstraraðilar skýjageira og Umbra sem fer með leyfaumsýslu fyrir hönd ríkisins séu almennt vakandi fyrir því hvort kostnaður vegna Microsoft-leyfa sé óeðlilega hár, leiti þá skýringa og reyni að halda honum í lágmarki.
Ekki hugað með fullnægjandi hætti að persónuverndar- og öryggisþáttum
Fjármála- og efnahagsráðuneyti hafði engin formleg samskipti við Þjóðaröryggisráð, Netöryggisráð eða aðra opinbera aðila sem með lögum hafa verið falin verkefni varðandi upplýsingaöryggi ríkisins við undirbúning eða gerð samnings ríkisins við Microsoft fyrr en eftir að hann var undirritaður. Þá voru ekki gerðar breytingar á vinnsluskilmálum samningsins til aðlögunar að starfsemi íslenska ríkisins hvorki við samningagerð 2018 né við endurnýjun 2021. Fyrir liggur að lög um persónuvernd og lög um öryggi net- og upplýsingakerfa mikilvægra innviða hafa tekið breytingum frá því samningur við Microsoft var gerður árið 2018 og ríkari kröfur gerðar nú en áður. Vaxandi áhersla er meðal þjóða á stafrænt sjálfstæði og netöryggi auk þess sem stjórnvöld hérlendis hafa verið sett fram stefnuskjöl varðandi skýjaþjónustu, öryggisflokkun gagna íslenska ríkisins og netöryggi.
Til bóta hefði verið ef stefna um notkun skýjalausna hins opinbera, öryggisflokkun gagna ríkisins og fyrirkomulag afritunartöku og vistunar hefði legið fyrir áður en til innleiðingar Microsoft-samningsins kom. Þá hefði að mati Ríkisendurskoðunar jafnframt þurft að vera fyrir hendi betri stuðningur við stofnanir við innleiðingu þar sem boðið hefði verið sniðmát til að einfalda stofnunum að leggja sjálfstætt áhættumat á samninginn með hliðsjón af persónuverndar- og öryggissjónarmiðum gagnvart viðkomandi starfsemi. Slíkt var þó gert á síðari stigum. Ríkisendurskoðun telur mikilvægt til framtíðar að í aðdraganda heildarsamninga ríkisins um hugbúnaðarleyfi og skýjaþjónustu verði lagt formlegt mat á þætti er snúa að öryggi og persónuvernd af þar til bærum aðilum.
Tryggja þarf miðlun þekkingar, reynslu og lausna
Almennt hafa litlar stofnanir takmarkaða innviði og getu til að tryggja meðhöndlun gagna, netöryggi og verjast netárásum. Skýjaþjónusta og öflugri tækniumsjón er því til bóta hvað varðar þann þátt.
Í könnun sem Ríkisendurskoðun gerði meðal forstöðumanna stofnana kom fram að 92,7% forstöðumanna telja skrifstofuforrit sem samningurinn inniheldur hafi nýst starfseminni vel eða mjög vel. Þá telja 78,9% forstöðumanna jafnframt að skýjalausnir samningsins hafi nýst starfseminni vel eða mjög vel. Við gagnaöflun Ríkisendurskoðunar komu hins vegar fram skýrar óskir frá stofnunum um að betur mætti gera í að deila þekkingu og reynslu milli stofnana og skýjageira. Þannig mætti byggja upp þekkingu og nýta lausnir samningsins sem best.
Að sögn fjármála- og efnahagsráðuneytis hafa verið stofnaðir faghópar um afmörkuð tæknileg málefni í þeim tilgangi að stofnanir geti deilt þekkingu og lausnum.
Ríkisendurskoðun telur mikilvægt að fjármálaráðuneyti vinni áfram markvisst að því að tryggja miðlun þekkingar, reynslu og lausna á milli skýjageira. Endurskoða þarf hlutverk og virkni arkitektúrráðs og þjónustueigendaráðs samhliða því sem styðja verður við Umbru – þjónustumiðstöð Stjórnarráðsins sem miðlægs þjónustu- og þekkingarkjarna leyfaumsýslu og reksturs Microsoft-umhverfis ríkisins. Auka þarf áherslu á að þarfir notenda leiði þróun skrifstofuumhverfisins.
Væntingar um beinan fjárhagslegan ávinning stóðust ekki
Ávinningsmat um innleiðingu samræmds skrifstofuhugbúnaðar hjá stofnunum í A-hluta ríkisreiknings á grundvelli heildarsamnings ríkisins við Microsoft var unnið af starfshópi á vegum fjármála- og efnahagsráðuneytis eftir að samningurinn hafði verið undirritaður. Matinu var skipt upp í fjóra áhrifaþætti, þ.e. skilvirkari stjórnsýsla, aukið öryggi, nýjar lausnir og öflugri rekstur. Fyrir hvern þátt fyrir sig var lagt mat á sparnað eða „æskilegan ávinning“, eftir því hvort um væri að ræða beina hagræðingu, tímasparnað eða afleidd áhrif. Áætlaður árlegur ávinningur var metinn 5,5 ma. kr. sem kæmi að fullu fram árið 2023. Beinn ávinningur kæmi fram strax á fyrsta ári, að mestu vegna lægri leyfagjalda, en hagræðing vegna tímasparnaðar starfsfólks og afleiddra áhrifa kæmi fram smám saman. Mestur myndi ávinningurinn verða vegna tímasparnaðar starfsfólks en gert var ráð fyrir því að með fullri innleiðingu samningsins myndu 260 ársverk sparast eða um 2,7 ma. kr.
Engar hlutlægar mælingar á tímasparnaði eða auknum afköstum starfsfólks sem rekja má til samningsins hafa farið fram og engum gögnum um þá þætti er til að dreifa. Aðspurt gat fjármála- og efnahagsráðuneyti ekki svarað því hvort þessi markmið hefðu náð fram að ganga. Að mati Ríkisendurskoðunar er ljóst að ávinningsmatið byggði á almennum forsendum og var aldrei nýtt til þess að skilgreina hlutlæga mælikvarða um árangur þess að gera og innleiða heildarsamning milli ríkisins og Microsoft. Að auki er ómögulegt að segja til um með hvaða hætti þróunin hefði orðið ef ekki hefði komið til heildarsamnings og við hvað eigi þá að meta ávinning samningagerðarinnar. Engu að síður er ljóst að stöðugildum vegna starfa við upplýsingatækni hefur ekki fækkað hjá stofnunum ríkisins frá því samningurinn við Microsoft var gerður.
Væntingar um beinan fjárhagslegan ávinning vegna lægri leyfagjalda stóðust ekki. Almennt hefur kostnaður fyrir hvert notendaleyfi ríkisstofnana í A-hluta aukist eftir gerð og innleiðingu heildarsamnings. Sú vara og þjónusta sem samið var um er þó ekki fyllilega sambærileg við fyrri samninga einstakra stofnana m.t.t. vörueiginleika, þjónustuþátta og öryggis. Þrátt fyrir aukinn samrekstur verður ekki séð að kostnaður stofnana vegna upplýsingatækni hafi minnkað. Í því samhengi verður þó að horfa til þess að vægi upplýsingatækni í starfsemi stofnana hefur almennt farið vaxandi og rekstur samhæfðs skrifstofuumhverfis er þar einungis einn þáttur af mörgum.
Úttekt Ríkisendurskoðunar og greining sem unnin var á vegum fjármála- og efnahags-ráðuneytis á innleiðingu þeirra lausna og þjónustu sem fólst í samningi ríkisins við Microsoft hafa leitt í ljós að verkefnið var vanmetið í upphafi og ekki nægilega vel undirbúið. Meirihluti þeirra markmiða sem stefnt var að skv. fyrrgreindu árangursmati náðust ekki í samræmi við fyrirætlanir ráðuneytisins. Því verður ekki séð að ávinningsmatið hafi gengið eftir en benda verður á að samkvæmt könnun sem Ríkisendurskoðun gerði meðal forstöðumanna stofnana telur meirihluti þeirra heildaráhrif samningsins á starfsemi stofnana hafa verið jákvæð. Þó hafa stjórnendur stofnana áhyggjur af auknum kostnaði og að með aukinni miðstýringu og samrekstri verði rekstur og þjónusta ekki jafn næm fyrir raunverulegum þörfum starfseminnar.