Bedre risikohåndtering ved innkjøp av store IT- systemer

Bedre risikohåndtering ved innkjøp av store IT- systemer

Overskridelser på 6 milliarder eller ikke i offentlige IT-prosjekter - det blir mye penger, selv om beløpets størrelse skulle være 50 prosent feil.
Det Norske Veritas (DNV) samarbeider nå med offentlige etater og private bedrifter for å finne fram til en strukturert arbeidsmåte for bedre risikohåndtering ved innkjøp av store programvare-intensive systemer.

For tiden pågår det en debatt i Norge om IT-prosjekter og deres kostnadsoverskridelser. Om man legger diskusjonen til side og ser på realitetene kan man fastslå følgende: Store programvareintensive prosjekter tar ofte retninger man gjerne skulle ha forutsett før man finner seg selv for langt ute på ville veier.

Det kan hende at veien er riktig, men det kan også hende at om man hadde foretatt en mer bevisst vurdering av konsekvenser forbundet med et veivalg, så hadde man unngått noen fallgruver. Det dreier seg altså ikke bare om budsjettoverskridelser. Det handler om å bli bedre til å håndtere risiko forbundet med innkjøp av store programvareintensive systemer.

Mange konsulentselskaper tilbyr ledelse av anskaffelsesprosjekter. Noen ganger lykkes de ) andre ganger ikke. I slike prosjekter finner man ofte følgende fellesnevnere: Prosjektet drives av dyktige individer, og man lykkes på grunn av individets styrke, kompetanse og tilfeldigheter ) ikke på grunn av en arbeidsmåte som systematisk reduserer risikoen for feilaktige beslutninger og handlinger.

Man kan spørre seg selv om ikke problemet med risiko i anskaffelsesprosjekter er løst allerede. På kjøpersiden arbeider man etter standarder som ISO 9001 for generell kvalitet, ebTrust og ISO 17799 for informasjonssikkerhet. På utviklersiden finnes det metoder som er mer eller mindre 8unified8, 8light8, fossefallsstyrt osv. Det er vanlig at kjøperen stiller krav til valg av utviklingsprosess, kanskje i form av kontraktsmalene som ble utviklet innenfor det norske PS2000-prosjektet. Bruk av standarder som ISO 9001, CMM, SPICE og ISO 12207 er vanlige hos programvareleverandører. Kjøpersiden gjør av og til revisjoner og støtter seg da ofte til hjelp fra en tredjepart.

Et anskaffelsesprosjekt vurderes gjerne som vellykket hvis det programvareintensive systemet blir tatt i bruk, og fortsatt er i bruk etter noen måneder. Man kan spørre seg om dette er riktige suksesskriterier for anskaffelse av systemer som bør ha en levetid på 5-20 år.

Det DNV ser, ikke bare i Norge, men også i sterke utviklerland som India og Russland, er at mens utviklerne leverer stadig mer programvare per krone, klarer ikke kjøperne alltid å henge med i samme tempo. Man har ofte teknisk kompetanse, men mangler den kompetansen og de prosessverktøyene som kreves for systematisk å håndtere risiko over hele levetiden til et system. Faktum er, at de beste indiske utviklerne i dag sier at den største hindringen for bedre veivalg fra deres side, er hvordan kjøperne arbeider.

Er det slik vi ønsker å ha det? Vi tror ikke det. DNV har de seneste årene fått en rekke henvendelser relatert til anskaffelse av programvareintensive systemer. Derfor har vi nå, via vår strategiske forskningsavdeling DNV Research, startet et utviklingsprosjekt der vi i samarbeid med offentlige etater og private bedrifter skal finne fram til en strukturert arbeidsmåte for innkjøp av store programvareintensive systemer. Prosjektet har fokus på kostnader relatert til hele livssyklusen til et system, ikke bare direkte anskaffelseskostnader.

Vi søker støtte fra Norsk Forskningsråd, og eventuell støtte derfra avgjør hvor mange små og mellomstore bedrifter og universitetsdeltagere som blir med i prosjektet. Målsetningen er å lage retningslinjer for hvordan en kjøper selv kan bli bedre til å redusere risiko ved innkjøp av slike systemer. Disse retningslinjene vil bli offentlig tilgjengelige, slik at det blir til nytte for samfunnet. I tillegg innebær det at vi får en kontinuerlig og leverandøruavhengig vurdering av kvaliteten i retningslinjene.

Nytten av et slikt sett med retningslinjer vil ikke være unik for Norge. Hvis vi i valideringsfasen av prosjektet finner at resultatene våre gir god nytteverdi, vil vi vurdere å gå videre for å bygge en EU-standard. Siden utgangspunktet er utarbeidet i Norge, vil norske prosjektpartnere ha en fordel når de anskaffer IT-systemer etter denne standarden nasjonalt eller internasjonalt. Selgere av programvareintensive systemer vil ha en fordel, da man blir vant til å arbeide med brukere av en slik innkjøpsstandard. De som er med på å utvikle en slik standard vil ha en fordel: De kan si: Jeg var med på å skrive standarden. Jeg var med på å prøve den ut.

Lars Bratthall,
Torbjørn Skramstad,
Heidi Brovold
fra Det Norske Veritas

lars.bratthall@dnv.com