Innføring av elektronisk handel

SØR-TRØNDELAG FYLKESKOMMUNE FYLKESREVISJONEN Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune ---- Fase 1 ---- Forvaltningsrevisjonsrapport 2001 November 2001

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune i Innholdsfortegnelse 0. SAMMENDRAG 1. INNLEDNING...1 1.1 DEFINISJON...1 1.2 BAKGRUNN...1 2. MÅLSTRUKTUR, AVGRENSING OG METODE...2 2.1 FORMÅL...2 2.2 PROBLEMSTILLINGER...2 2.3 AVGRENSING...3 2.4 DATAINNSAMLING OG METODE...3 3. ELEKTRONISK HANDEL...4 3.1 HVA ER ELEKTRONISK HANDEL?...4 3.2 DEN ELEKTRONISKE MARKEDSPLASSEN...5 4. STATUS I ARBEIDET MED INNFØRING AV ELEKTRONISK HANDEL...6 4.1 STATUS FOR INNFØRING AV E-HANDEL VED REGIONSYKEHUSET I TRONDHEIM...6 4.2 INNFØRING AV ELEKTRONISK HANDEL I FYLKESKOMMUNEN...8 5. KARTLEGGING OG VURDERING AV RISIKOOMRÅDER...10 5.1 FYLKESKOMMUNENS HÅNDTERING AV RISIKO...10 5.2 FYLKESREVISJONENS INNSPILL PÅ AKTUELLE RISIKOOMRÅDER...11 6. ELEKTRONISK HANDEL - FORHOLDET TIL GJELDENDE REGELVERK...14 7. INNKOMNE HØRINGSUTTALELSER...17 8. FYLKESREVISJONENS KONKLUSJONER...18 8.1 INNLEDNING...18 8.2 KARTLEGGING OG HÅNDTERING AV AKTUELLE RISIKOFORHOLD...20 8.3 ELEKTRONISK HANDEL - FORHOLDET TIL GJELDENDE REGELVERK...20 VEDLEGG

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune ii 0. Sammendrag Fylkesrevisjonen har sommeren og høsten 2001 gjennomført et forvaltningsrevisjonsprosjekt som fokuserer på arbeidet med innføringen av elektronisk handel i Sør-Trøndelag fylkeskommune. Målsettingene med prosjektet er å bidra til at fylkeskommunen etablerer en ressurseffektiv løsning for elektronisk handel samtidig som hensynet til sikkerhet og en betryggende intern kontroll ivaretas. I prosjektet har fylkesrevisjonen kartlagt status for innføringen av elektronisk handel i fylkeskommunen, vurdert fylkeskommunens risikohåndtering i prosjektet og sett nærmere på krav og rammer som interne og eksterne retningslinjer setter for områder som blir berørt av en mulig fremtidig løsning for elektronisk handel i fylkeskommunen. Regionsykehuset i Trondheim (RiT) har siden i 1997 arbeidet med innføring av elektronisk handel gjennom deltakelse i et pilotprosjekt i regi av Sosial- og helsedepartementet. Arbeidet har imidlertid ikke gitt de forventede resultater og prosjektet har stoppet opp. I sentraladministrasjonen og fylkeskommunen for øvrig ble det i 2001 satt i gang et prosjekt for innføring av elektronisk handel der fylkeskommunen deltar som pilot i en ny statlig satsing på elektronisk handel i det offentlige. Formålet er å etablere løsninger for å kunne handle elektronisk med rammeavtaleleverandører. Basert på denne løsningen skal fylkeskommunen i henhold til fremdriftsplanen prøve ut ehandel på testnivå etter nyttår, med sikte på å etablere ordinær drift med et utvalg av leverandører innen utgangen av 2002. God risikostyring er i de fleste prosjekter avgjørende for at prosjektet skal gi forventede resultater innenfor fastsatte rammer. I prosjektet med innføring av elektronisk handel ved RiT var manglende medvirkning fra leverandørsiden en viktig risikofaktor for at prosjektet ikke ga de forventede resultater. Når det gjelder risikokartleggingen i ehandelsprosjektet som er initiert i sentraladministrasjonen mener fylkesrevisjonen at arbeidet fortsatt kan videreutvikles. Risikostyring er en kontinuerlig prosess der avdekkede risikoer må vurderes opp i mot mulige konsekvenser sett i forhold til kostnadene ved begrensning eller eliminering av risikoen. Innføringen av elektronisk handel krever en omfattende gjennomgang av gjeldende regelverk både eksternt og innad i fylkeskommunen. Staten har igangsatt et arbeid (eregelprosjektet) med sikte på å fjerne de rettslige hindringene for elektronisk kommunikasjon. Innføringen av elektronisk handel i fylkeskommunen vil gjøre det nødvendig å revidere en rekke interne retningslinjer. Utfordringen er å tilpasse endringene på en slik måte at kravene til sikkerhet og god intern kontroll ivaretas på en betryggende måte.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 1 1. Innledning 1.1 Definisjon Med elektronisk handel menes alle former for kommersielle transaksjoner og forretningsvirksomhet over elektroniske nett. Transaksjonene kan være knyttet til bestilling, betaling og levering av fysiske varer og tjenester, men kan også omfatte overføring av digitaliserte varer og tilgang til tjenester 1. 1.2 Bakgrunn I henhold til Kommunelovens bestemmelser ( 60, nr. 7) skal fylkesrevisjonen kontrollere at den økonomiske forvaltning foregår i samsvar med gjeldende bestemmelser og vedtak, og foreta en systematisk vurdering av bruk og forvaltning av de kommunale midler med utgangspunkt i oppgaver, ressursbruk og oppnådde resultater. Sør-Trøndelag fylkeskommune med underliggende virksomheter forbruker årlig store mengder varer og tjenester. Ifølge driftsregnskapet for 2000 hadde fylkeskommunen kjøpt varer og tjenester som inngår i egen vare- og tjenesteproduksjon med 988 millioner kroner. I fylkeskommunen var RiT først ute i arbeidet med å etablere en løsning for elektronisk handel, og ble i 1997 med i et pilotprosjekt for å prøve ut elektronisk handel i helsesektoren. I 2001 besluttet fylkesrådmannen at sentraladministrasjonen og de øvrige ikke-helserelaterte virksomhetene i fylkeskommunen skulle delta som pilot i et program i regi av Nærings- og handelsdepartementet for elektronisk handel i det offentlige. Elektronisk handel vil trolig innen få år prege og forandre innkjøpsprosessene i offentlig virksomhet. Fylkesrevisjonen tar utgangspunkt i antakelsene om at det ligger et betydelig innsparingspotensiale i dette, men vi vil påpeke viktigheten av at de nye systemene ivaretar fylkeskommunens særskilte behov. Dessuten er det viktig å følge opp at fylkeskommunen tar ut det effektivitetspotensialet som elektronisk handel kan innebære. Fylkesrevisjonen vil i dette prosjektet følge opp arbeidet med innføringen av elektronisk handel. Siden fylkeskommunen er i en tidlig fase har fylkesrevisjonen lagt opp til å gjennomføre en beskrivende undersøkelse, samtidig som vi prøver å gi innspill i det videre arbeidet med innføring av e-handel i fylkeskommunen. Ved å gå inn såvidt tidlig håper vi at arbeidet kan være et positivt bidrag for å etablere en best mulig løsning for elektronisk handel i Sør-Trøndelag fylkeskommune. Oppfølging av arbeidet med innføring av elektronisk handel vil være en prioritert oppgave for fylkesrevisjonen og vi vil følge opp arbeidet gjennom senere forvaltningsrevisjonsprosjekter og i det ordinære regnskapsrevisjonsarbeidet. 1 Stortingsmelding nr 41 (1998-99) Om elektronisk handel og forretningsdrift

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 2 2. Målstruktur, avgrensing og metode 2.1 Formål Formålet med forvaltningsrevisjonsprosjektet Elektronisk handel kan uttrykkes slik: Formålet med prosjektet Elektronisk handel er å bidra til at fylkeskommunen etablerer en ressurseffektiv løsning på området elektronisk handel, samtidig som en betryggende intern kontroll ivaretas. 2.2 Problemstillinger Ut fra formålet har vi formulert følgende problemstillinger for prosjektet: 1. Hvordan er status vedrørende innføring av elektronisk handel i fylkeskommunen? 2. Kartlegger fylkeskommunen aktuelle risikoområder ved innføring av elektronisk handel og blir identifiserte risiki håndtert på en sikker måte? 3. Hvordan vil innføringen av elektronisk handel i fylkeskommunen ivareta kravene til gjeldende regelverk på området? Innføringen av elektronisk handel er i en tidlig fase i fylkeskommunen. Fylkesrevisjonen har likevel valgt å prioritere ressurser i denne fasen for å kunne peke på forhold og risikofaktorer som fylkesrevisjonen med sin erfaring og organisatoriske ståsted kan ha særlige forutsetninger for å identifisere. Vi håper at prosjektet kan være et positivt bidrag i arbeidet med innføringen av elektronisk handel i fylkeskommunen, og at prosjektet samtidig kan være en tilbakemelding fra fylkesrevisjonen til politiske beslutningstakere om status i fylkeskommunens arbeid med elektronisk handel.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 3 2.3 Avgrensing Fylkesrevisjonen har valgt å sette særlig fokus på arbeidet med innføring av elektronisk handel i sentraladministrasjonen og i de ikke-helserelaterte virksomhetene i fylkeskommunen. Gjennomgangen av RiTs arbeid med innføring av e-handel er tonet ned og begrenset til en beskrivelse av sykehusets arbeid med prosjektet så langt. Dette har sammenheng med at RiT for tiden avventer arbeidet med innføring av elektronisk handel i påvente av etableringen av den offentlige elektroniske markedsplassen. Fylkesrevisjonen vil på grunn av sin stilling som uavhengig tilsynsorgan, ikke la seg involvere i beslutninger om fremdrift og valg av tekniske og organisatoriske løsninger i forhold til innføring av e-handel. Innsatsen vil konsentreres om å gjennomgå arbeidet så langt, peke på relevante risikoforhold ved innføring av E-handel og å vurdere prosjektet i forhold til de rammer som regelverket setter for innkjøpsprosessene i fylkeskommunen. Erfaring viser at datasystemer kan skades ved ulike typer angrep, dette vil fylkesrevisjonen se nærmere på når innføring av e-handel i fylkeskommunen er kommet lengre. 2.4 Datainnsamling og metode Forvaltningsrevisjonsprosjektet Elektronisk handel er gjennomført i perioden mai til september 2001. Fylkesrevisjonen har gjennomgått det arbeidet som både RiT og fylkeskommunen har gjort i forhold til innføring av e-handel. Siden fylkeskommunen er i en tidlig fase med innføring av elektronisk handel har fylkesrevisjonen forsøkt å hente innspill fra andre relevante miljøer som arbeider med tilsvarende prosjekter. I forhold til statusgjennomgangen av innføringen av e-handel har vi lagt til grunn relevante dokumenter som er utarbeidet i i fylkeskommunen, som politiske beslutninger vedrørende e- handel, prosjektplan, korrespondanse, notater og møtereferater. Ved vurderingen av risikohåndteringen i fylkeskommunen har fylkesrevisjonen lagt til grunn erfaringer fra innføring av elektronisk handel i andre virksomheter i form av tilgjengelig materiale og artikler om elektronisk handel i ulike tidsskrifter. I arbeidet med å vurdere elektronisk handel opp i mot gjeldende regelverk har vi skilt mellom eksterne og interne regelsett. I forhold til eksternt regelverk har vi lagt vekt på arbeidet som gjøres i eregelprosjektet i regi av Nærings- og handelsdepartementet (NHD). I gjennomgangen av fylkeskommunens interne retningslinjer har vi forsøkt å kartlegge bestemmelser som særlig får betydning for innføringen av elektronisk handel i fylkeskommunen. Fylkesrevisjonen har i tillegg gått i gjennom dokumenter knyttet til de sentrale programmene for innføring av elektronisk handel i helsesektoren (i regi av blant annet Sosial og helsedepartementet) og i det offentlige for øvrig (i regi av AAD). Fylkesrevisjonen har dessuten hatt formelle og uformelle møter med utvalgte personer ved RiT og i sentraladministrasjonen som er sentrale i forhold til arbeidet med innføring av elektronisk handel i fylkeskommunen.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 4 3. Elektronisk handel Fylkeskommunen har deltatt som pilot i to statlige prosjekter for e-handel. RiT var først ute i 1997 og ble med som pilotsykehus i prosjektet Elektronisk handel i helsesektoren. For tiden deltar fylkeskommunen for øvrig i programmet for elektronisk handel i regi av Arbeids- og administrasjonsdepartementet. 3.1 Hva er elektronisk handel? Elektronisk handel og forretningsdrift foregår ved hjelp av elektronisk post, elektronisk datautveksling og på Internett over en infrastruktur bestående av datamaskiner, programvare og kommunikasjonssystemer. E-handel mellom bedrifter ble anslått til å utgjøre 80 % av all elektronisk handel i 1999 (OECD). Resten utgjør forbrukerhandel på Internett og skjer i stor grad gjennom nettbutikker spesielt utviklet og tilrettelagt for elektronisk handel. Elektronisk handel mellom ulike virksomheter kan grovt sett deles i to kategorier. Tradisjonell e-handel mellom bedrifter (ofte kalt EDI-handel) og en videreutvikling av elektronisk handel mellom bedriftene som er basert på internetteknologi. Disse kategoriene er ikke entydige og man ser at skillene er i ferd med å viskes ut. Tradisjonell elektronisk handel basert på EDI (Electronic Data Interchange) mellom kunde og leverandør har eksistert i Norge i ca. 20 år og har stått relativt sterkt i Norge. I den siste tiden ser imidlertid tendensen ut til å være at tradisjonell EDI går noe tilbake. E-handelsløsninger basert på kommunikasjon via internett ser ut til å være den løsningen som øker mest i utbredelse. Effektiviseringspotensialet innenfor elektronisk handel ligger både utenfor og internt i virksomhetene. Av eksterne forhold vil det være naturlig å nevne: reduserte innkjøpskostnader ved bedre utnyttelse av rammeavtaler, reduserte transaksjonskostnader mellom kunde og leverandør, enkel tilgang til informasjon om leverandørens produkter og leveringskapasitet. De interne effektiviseringsmulighetene kan være minst like store som det eksterne innsparingspotensialet: rasjonalisering av innkjøpsprosessene (sparer tid og ressurser), bedre lagerstyring (mindre svinn, ukurrans og kapitalbinding i lager), bedre avtalelojalitet (gir grunnlag for bedre avtaler og lavere innkjøpskostnader), raskere og sikrere fakturahåndtering, raskere og sikrere betalingsrutiner, muligheten for mer korrekt føring i regnskapet. Dette forutsetter imidlertid at det etableres tekniske løsninger som ivaretar krav til informasjonssikkerhet og at de valgte løsningene ivaretar de kravene som virksomhetene setter til god intern kontroll.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 5 3.2 Den elektroniske markedsplassen Den elektroniske markedsplassen er en del av det statlige programmet for innføring av elektronisk handel for offentlige innkjøp, med en anslått finansiell ramme på 20,6 millioner kroner fordelt over årene 1999-2003. Programmet skal omfatte innkjøp på alle forretningsnivåer både statlige, fylkeskommunale og kommunale områder. Elektronisk handel har tradisjonelt vært implementert ved innføring av EDI, men har ikke fått den forventede vekst. Grunnen til at EDI ikke har hatt den veksten man forventet, er at det er forholdsvis dyrt å implementere dette for leverandørene, da det krever en del investeringer. Det viser seg at det er meget viktig å skape standardiserte grensesnitt for informasjonsutveksling, som benyttes av et tilstrekkelig antall brukere slik at både kjøpere og leverandører kan implementere og benytte én meldingstype for å kommunisere overfor alle sine forretningspartnere. Hovedutfordringen og suksesskriteriet for at en elektronisk markedsplass blir vellykket er å etablere løsninger som gjør det mulig for innkjøpsorganisasjoner og leverandører å velge kommunikasjonsform og nivå for integrasjon mot egne systemer uavhengig av handelspartnerens teknologiske modenhet og forutsetninger. Skjematisk kan den offentlige elektroniske markedsplassen fremstilles på følgende måte: Økonomi- / innkjøpssystem ODBC Flat fil EDIFACT XML www E-post Telefaks Internett Felles grensesnitt El. markedsplass Leverandørregister Vare- og tjenestekatalog Bestilling og betaling Statistikk/forbrukstall Informasjonstjenester Hvordan bli leverandør? Anbudskunngjøringer Tilbudsinnlevering Ordre og betaling Vedlikehold av egen info Felles grensesnitt Internett Ordre- / ERP-system EDIFACT XML www E-post Telefaks Offentlige innkjøpsorganisasjoner Leverandører Figur: Skisse av den elektroniske markedsplassen, fra Program for elektronisk handel i det offentlige. Den elektroniske markedsplassen er planlagt å bli en landsomfattende inngang (faglig kalt en nasjonal portal ) for alle som ønsker å anskaffe og levere varer og tjenester til offentlig sektor i Norge. Systemene er web-basert og legger opp til at handel mellom innkjøper og leverandør baseres på inngåtte rammeavtaler. Målsettingene er blant annet å effektivisere innkjøpsprosessen, effektivisere daglige småkjøp, redusere administrasjonskostnader ved det enkelte kjøp, gi større informasjonstilgang både internt og eksternt, styre tilgangen til markedet for egen organisasjon, øke tilgangen til markedsinformasjon og å finne det riktige produktet.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 6 4. Status i arbeidet med innføring av elektronisk handel 4.1 Status for innføring av E-handel ved Regionsykehuset i Trondheim 4.1.1 Elektronisk handel i helsesektoren Regionsykehuset i Trondheim ble i 1997, som eneste sykehus utenfor helseregion 2, med i et prosjekt som fikk navnet Elektronisk handel i helsesektoren. Prosjektet inngikk som en del av Sosial- og helsedepartementets IT-plan: Mer helse for hver BIT. Formålet med prosjektet var å frigjøre tid som helsepersonell i dag benytter til innkjøp og andre administrative oppgaver til behandling og pleie av pasienter. Prosjektet var et initiativ under, og fikk støtte av, Nasjonale InformasjonsNettverk (NIN) under Norges forskningsråd. Prosjektets støttespillere og deltakere var blant annet Sosial og helsedepartementet (SHD), Statens helsetilsyn, Rikshospitalet, leverandører til helsesektoren, Norges forskningsråd, Statskonsult og en rekke sykehus og fylkeskommuner. Deltagende sykehus i prosjektet var Rikshospitalet Regionsykehuset i Trondheim Vestfold Sentralsykehus Akershus Sentralsykehus Østfold Sentralsykehus Aust-Agder Sentralsykehus Telemark Sentralsykehus Målsettingene for prosjektet var blant annet å bidra til forbedringer i bruk av rammeavtaler, bedre behovsplanlegging, bedre varedistribusjon og reduserte varelagre. Hver av pilotene skulle etablere egne rasjonaliseringsmål som skulle resultere i mer tid og ressurser til kjernevirksomhet og målsettingene var i størrelsesorden 10 % av vareforsyningskost (varekjøp + transaksjonskostnader). 4.1.2 Elektronisk handel ved RiT For at RiT skulle være i stand til å bruke elektronisk handel som innkjøpsform måtte sykehuset først oppgradere sitt innkjøps- og logistikksystem. Avtale om anskaffelse og oppgradering av programvare ble undertegnet i januar 1999 med Unique AS. De valgte løsningene var basert på en tradisjonell EDI-løsning med direkte kommunikasjonslinjer mellom kunde og leverandør. Opprinnelig skulle ny programvare være ferdig installert i våren 1999 med testing mot 3-4 større leverandører.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 7 Systemet var forutsatt å inneholde en rekke nye funksjoner som elektronisk signatur, desentral bestilling og oversikt over innkjøpsavtaler. Varebestilling kan enten skje automatisk (ved lav beholdning) eller manuelt ved at bemyndiget person sender bestilling. Systemets potensiale lå blant annet i at data ville bli registrert bare ett sted og at manuelle operasjoner ville bli redusert kun til å behandle avvik. I korthet ønsket man ved RiT et system der alle avdelingene ved sykehuset bestiller forbruksmateriell elektronisk. Innkjøpsavdelingen skulle så behandle bestillingene i tre kategorier: 1. varer som kan leveres direkte ut fra lager, 2. varer som fås ved sterilsentralen, 3. varer som må bestilles fra en ekstern leverandør. De to førstnevnte forholdene behandles internt. Når det gjelder varer utenfra la man opp til at bestillingen ble videresendt fra innkjøpsavdelingen til den leverandøren som sykehuset hadde innkjøpsavtale med. Etter at leverandør har mottatt elektronisk bestilling ville ordrebekreftelse bli sendt elektronisk til sykehuset. Faktura skulle mottas elektronisk og nødvendige godkjenninger av kjøpstransaksjonen, bokføring og betaling skulle skje elektronisk. RiT har ca. 35.000 inngående fakturaer i året, slik at potensialet var, og er, stort. Etterhvert som sykehuset arbeidet med å etablere de tekniske løsningene for elektronisk handel så man kritiske faktorer som måtte ryddes vekk for at prosjektet skulle bli vellykket. Blant annet krever e-handel at det ryddes i enhetsbegrepet for ulike varegrupper, siden det er av stor betydning at kunde og leverandør har samme oppfatning av om bestillingen er pr. stk., pr. dusin, pr. eske, pr. kilo etc. Den største barrieren for videre fremdrift i arbeidet med innføring av E-handel, var manglende standardisering av format for utveksling av data mellom kunde og leverandør og at kommunikasjonsløsningen ble for kostbar for leverandørene. Leverandørene har således vært tilbakeholdne med å velge kommunikasjonsløsninger for elektronisk handel, siden man var usikker på hvor vidt den valgte løsningen ville bli rådende i markedet. Dette har gjort at e- handelsprosjektet ved RiT er blitt forsinket og etterhvert stoppet helt opp. Status for prosjektet er for tiden at RiT avventer fremtidige internettbaserte løsninger for e-handel og særlig resultatene av arbeidet med den elektroniske markedsplassen. 4.1.3 Effektivisering av de interne innkjøpsprosessene ved RiT Med bakgrunn i at det opprinnelige e-handelsprosjektet har stoppet opp har RiT i stedet satt fokus på å effektivisere sykehusets interne innkjøpsprosesser, både som et rasjonaliseringstiltak og for å forberede organisasjonen på en eventuell fortsettelse av arbeidet med innføring av elektronisk handel. I prosjektet inngår blant annet skanning av inngående fakturaer som innebærer elektronisk fakturabehandling ved sykehuset. RiT håper således å ta ut en betydelig del av innsparingspotensialet som ligger i elektronisk handel før selve E-handelsløsningen er etablert. Det er imidlertid usikkert om RiT kommer i gang med dette arbeidet i 2001, siden sykehuset regner med å bruke en god del ressurser i forbindelse med overgangen til det regionale helseforetaket.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 8 4.2 Innføring av elektronisk handel i fylkeskommunen I regi av Arbeids- og administrasjonsdepartementet er det satt i gang et program for elektronisk handel i det offentlige. Fylkesrådmannen har besluttet at fylkeskommunen skal delta som pilot i dette prosjektet. Prosjektet har fått navnet ESTER. I fylkesutvalgets behandling av sak 33/2001 Melding om strukturprosjektet redegjør fylkesrådmannen for at fylkeskommunen har som mål å effektivisere og forbedre sine innkjøpsprosesser ved bruk av elektronisk handel. Fylkeskommunen har så langt inngått avtale med Statskjøp om pilotdeltakelse ved etablering av den offentlige elektroniske markedsplassen, som er en fellesbetegnelse på den funksjonaliteten som er nødvendig for å gjennomføre elektronisk handel med rammeavtaleleverandører. For å forberede egen organisasjon på overgang til e-handel ble det i fylkeskommunen engasjert prosjektleder med kompetanse og erfaring fra e-handelsprosjektet ved RiT. Totalt sett er det avsatt 500.000 kroner til e-handelsprosjektet i sentraladministrasjonen i 2001. Prosjektet jobber for tiden med å kartlegge innkjøpsprosedyrene i fylkeskommunen. Denne kartleggingen vil danne grunnlaget for å definere hvordan man ønsker at innkjøpsfunksjonene skal utøves og organiseres i fremtiden. Fremdrift Fylkeskommunen legger i tråd med fremdriften i det øvrige e-handelsprosjektet opp til at man skal foreta testkjøp i perioden fra årskiftet 2001/2002 og frem til våren 2002. Dersom fylkeskommunen på bakgrunn av erfaringene fra testperioden finner at man vil gå videre med prosjektet tar man sikte på ordinær drift med et utvalg av leverandører etter at testperioden er avsluttet. Den web-baserte løsningen for e-handel (den elektroniske markedsplassen) forutsetter at det er inngått rammeavtaler mellom leverandør og innkjøper som legger grunnlaget for innkjøpstransaksjonene. De fleste innkjøpsavtalene som fylkeskommunen har inngått utløper den 31.12.2001. Fordi disse avtalene skal ut på ny anbudskonkurranse kompliseres arbeidet med å engasjere pilotleverandører for testing av elektroniske innkjøp. Fylkeskommunen må derfor søke å finne testleverandører blant avtaler som løper lengre enn til 31.12.2001, selv om dette begrenser utvalget. Trolig innebærer dette at man må forespørre leverandører innenfor varegruppene byggevarer og maling, siden det er inngått mer langsiktige innkjøpsavtaler med disse. Ideelt sett hadde det vært en fordel å ha hatt testleverandører innenfor forbruksvarer siden dette har gitt et større transaksjonsvolum i testperioden. Et annet viktig moment er at det vil gi mulighet for at flere brukere kan delta i pilotperioden, noe som helt klart vil være en gevinst for prosjektet. I henhold til Prosjektplan for E-handel i Sør-Trøndelag fylkeskommune skal prosjektet få fylkeskommunen til å utføre sine transaksjoner elektronisk gjennom

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 9 å legge til rette, både organisatorisk og teknisk, for å ta i bruk elektronisk handel, å innføre hensiktsmessige løsninger for elektronisk fakturering og betaling. Målsettingen er å få 10 av fylkeskommunens mest transaksjonstunge leverandører aktive med elektroniske bestillings- og betalingsrutiner innen utgangen av 2002. Videre ønsker man å oppnå full lojalitet til eksisterende avtaler med de leverandører som er inne på markedsplassen innen utgangen av 2002 og at antall leverandører er redusert med minst 50 % i samme periode. En annen viktig målsetting er at den elektroniske bestillings- og betalingsrutinen skal integreres mot fylkeskommunens økonomi- og regnskapssystem. Ambisjonsnivået i den første fasen er at bestilling og ordrebekreftelse skal gå elektronisk. Faktura vil fortsatt komme på papir og det legges foreløpig opp til at betaling skjer på samme måte som tidligere. I denne fasen søker man det potensialet som elektronisk handel vil innebære i forhold til avtalelojalitet og bedre utnyttelse av innkjøpsavtalene samtidig som dette gir mulighet for å ta ut gode innkjøpsstatistikker. Fylkeskommunen anser den største kritiske suksessfaktoren for å være å motivere innkjøpere til å ta i bruk E-handel og å få løsningene enkle og praktiske. Fylkeskommunen planlegger å foreta en kostnytte betraktning når testperioden er ferdig våren 2002 for å vurdere om prosjektet skal videreføres. Prosjektet legger ikke opp til å foreta skanning av inngående fakturaer slik som RiT jobber med for tiden. Dette kan imidlertid bli aktuelt i en senere fase, siden alle fakturaer uansett ikke vil komme på elektronisk form i overskuelig fremtid. Fremtidig organisering av innkjøpsfunksjonene i fylkeskommunen Fylkeskommunen har så langt ikke vurdert hvordan innkjøpsfunksjonene i fylkeskommunen skal organiseres etter innføringen av elektronisk handel. Man må imidlertid raskt ta stilling til om bestilling skal foretas sentralt (med evt. desentral rekvirering) eller desentralt. STFK har jobbet med å få flest mulig av de administrative funksjonene desentralisert. Uavhengig av om bestilling gjøres sentralt eller desentralt vil det teknisk sett være mulig å begrense innkjøpers muligheter til særskilte leverandører og innenfor det varespekteret som virksomheten har behov for eller er bemyndighet for å foreta innkjøp innenfor. Fylkeskommunens IT-strategi Fylkeskommunens vedtatte IT-strategi 1998-2000 drøftet ikke forholdet til elektronisk handel. Formålet med IT-strategien var først og fremst å bidra til at fylkeskommunens virksomheter brukte samme type systemer. Videre var det viktig å få satt fokus på de overordnede målene for IT-funksjonen i fylkeskommunen. Fylkeskommunen arbeider for tiden med å utarbeide en ny IT-strategi. Dette skjer gjennom prosjektet Det nye fylket der en av delprosjektgruppene (Delprosjekt 6) har som en av sine oppgaver å utarbeide ny IKT-strategi for 2002-2004.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 10 5. Kartlegging og vurdering av risikoområder 5.1 Fylkeskommunens håndtering av risiko I forbindelse med at Sør-Trøndelag fylkeskommune besluttet å delta som pilot i det statlige e- handelsprosjektet er det utarbeidet en prosjektplan for prosjektet ESTER. Prosjektplanens kapittel 11 fokuserer på risikohåndteringsprosessen som er definert til å omfatte følgende aktiviteter som kontinuerlig skal vurderes og oppdateres: - identifisering - risikobeskrivelse - analyse og prioriteringsliste - plan - oppfølging - kontroll. I vedlegg til prosjektplanen følger en oversikt og identifisering av prosjektets risikomomenter. Disse er konkretisert i følgende 8 punkter: 1. Utilfredsstillende fremdrift i den offentlige markedsplass, jfr. fremdriftsplan pr april 2001. 2. Nøkkelpersoner i prosjektgruppen slutter/omallokkeres. 3. Manglende motivasjon hos brukerne. 4. Sluttbrukerapplikasjonen i programmet svarer ikke til forventningene. 5. Manglende forankring i STFKs ledergruppe. 6. Grunndata til nåstatusrapport forsinket. 7. Viktige leverandører for STFK uteblir som pilot. 8. Prosjektets budsjett overstiges. En gjennomgang av risikomomentene og de vurderingene som er gjort spesielt med hensyn til konsekvenser, er i hovedsak risiki for forsinkelse, utsettelse og manglende fremdrift i prosjektet. Risikoforhold nr. 7, Viktige leverandører for STFK uteblir som pilot, er en risiko som det er viktig å treffe tiltak for å forhindre at skjer. Etter fylkesrevisjonens vurdering er det i tillegg viktig å vurdere selve avtaleinngåelsene med leverandørene og innholdet i disse. Mer konkret tenker vi på disse viktige avtalerettslige forhold som bør være med i en samarbeidsavtale mellom STFK og leverandører: kostnader for utført tjenester, ansvar for systemfeil, bærer av risiko, forsikring, sikkerhet i systemet, fullmakter (signaturer), aktuelt lovverk, opptreden ved brudd mellom partene (behandling av tvister).

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 11 5.2 Fylkesrevisjonens innspill på aktuelle risikoområder Prosjektet ESTER er i en tidlig fase når det gjelder innføring av elektronisk handel og revisjonen vil derfor bidra med å gi innspill på fallgruver og risiki som vi mener er relevante i det videre arbeidet med prosjektet. Formålet med risikoanalyser er å undersøke hvorvidt den risiko som avdekkes ligger innenfor det som kan aksepteres. Gjør det ikke det, må det treffes tiltak for å sørge for at dette oppnås. Iverksetting og vurdering av resultatene fra risikoanalyser er ledelsens ansvar. Det er også ledelsen som skal vurdere hvor stor grad av risiko virksomheten kan akseptere. Erfaring fra andre prosjekter viser at innføring av elektronisk handel vil være krevende, fordi: - det vil kreve en relativt stor organisasjonsendring, - det må etableres en god, samordnet og standardisert elektronisk infrastruktur, - det må satses på rimelige, enkle og effektive løsninger som gjør det mulig å hente ut og påvise gevinster løpende, - innføring av elektronisk handel er en tidkrevende prosess, - det må bygges opp nødvendig kompetanse. Forøvrig vil et prosjekt som ESTER også være vanskelig fordi det både er et IT-prosjekt og et organisasjonsprosjekt. Endringsprosesser kombinert med innføring av ny teknologi er noe av det vanskeligste man kan gjennomføre fordi det involverer mange mennesker, nye arbeidsprosesser og ofte ny teknologi. Komplekse prosjekter fordrer en meget god prosjektledelse som vurderer og følger opp disse risiki: Analyserisiko, dvs. manglende forståelse for fallgruvene før det investeres i nye systemer Systemrisiko, dvs. risikoen for at de valgte løsningene ikke er egnet for å nå de ønskede resultater både innenfor tid og budsjett. Teknologisk risiko, dvs. risikoen for at teknologien er uegnet. Leverandørrisiko, dvs. risikoen for at leverandørene av program- og maskinvare ikke er i stand til å levere det nødvendige produkt eller servicekvalitet. Menneskelig risiko, dvs. risikoen for manglende menneskelig kapasitet og kompetanse. Systemutvikling og implementeringsrisiko, dvs. risikoen for at systemutviklingsprosessen, testperioden, mm ikke blir utført riktig og innenfor tid og budsjett. Prosjektledelse- og endringshåndtering, dvs. risikoen for at ressurser og prosesser ikke er ordentlig planlagt, ledet og målt for å sikre en vellykket prosjektgjennomføring. E-handel dreier seg ikke kun om elektronisk adgang til markedet, men like mye om en administrativ effektivisering i form av endrede rutiner for kjøp av varer og tjenester. Det ligger store effektiviseringsgevinster ved å forenkle tunge papirbaserte rutiner. Et viktig spørsmål og valg vil være om innkjøpsfunksjonen skal være sentral eller desentral.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 12 Fordel med en sentral løsning vil være en bedre utnyttelse av ressursene samt oppnå volumfordeler, lettere samordning og kompetanseoppbygging. Ulempe med en sentral ordning vil være at den som kjøper inn ikke har tilstrekkelig nærhet til de som har behovet, noe som kan medvirke til et sendrektig og byråkratisk system. For en desentral løsning vil fordeler/ulemper være de motsatte av en sentral. Valg av løsning vil ofte være et kompromiss hvor man forsøker å kompensere de to ytterpunktenes svakheter. Resultatet må være en forenkling og forbedring for den enkelte medarbeider. En viktig utfordring i prosjektet vil være å skape tillit til at e-handel er et virkemiddel for å effektivisere og heve kvaliteten på innkjøpsprosessene. Erfaringer tilsier at full nytte bare er mulig gjennom forenkling i rutiner for mottaks-, fakturakontroll og attestasjon. Gevinstanalyse som er gjennomført av Statens forvaltningstjeneste viser innsparingspotensiale på flere områder. Undersøkelser viser at fagpersonell det er mangel på, bruker mye av sin tid til innkjøp og anskaffelser. Innføring av elektronisk handel vil derfor kunne frigjøre ressurser til kjernevirksomhet ved at f eks legene vil få mer legetid. En bedre samordning av innkjøpene vil forbedre både den interne logistikken og kjøpsvilkårene. Elektronisk handel vil kreve en presis og rettidig registrering av alle innkjøpene og vil slik bidra til å styrke økonomistyringen ved at man til enhver tid vil ha oversikt over innkjøpsområdet. Man skal ikke glemme den positive siden når det gjelder den teknologiske utviklingen nemlig at risikoen for feil i et elektronisk miljø kan være mindre dersom teknologien er pålitelig og dataene er underlagt tilstrekkelig sikkerhet og kvalitetskontroll. Elektroniske dokumenter som oppbevares på en server i et nettverk er i utgangspunktet tilgjengelig for alle, dersom man ikke begrenser tilgangen ved hjelp av sikkerhets-, tilgangsog autorisasjonssystemer. Formålet med autorisasjonsrutinen er å sikre at de som får adgang til områder og utstyr til enhver tid har den autorisasjon som er nødvendig i forhold til sitt behov. Rutine for autorisasjonstildeling skal dekke - autorisasjon av nytilsatte, - behov for endringer ved forandring av oppgaver, herunder sletting av autorisasjon når tjenestlige behov ikke lenger er tilstede, f eks når en medarbeider slutter, - kontroll med at tildelte autorisasjoner fungerer etter forutsetningene. E-handel krever nye former for godkjenning av transaksjoner. Eksempler på nye risikoforhold er derfor: Bevisste og forsettlige angrep på datasystemer. Overføringsproblemer og -feil. Mangel på gyldighet. Tap av tillit. Tyveri av identitet. Uberettiget bruk av identitet.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 13 Et viktig tiltak vil være å opprette et register/aktivitetslogg som logger elektroniske hendelser, som: - brukernavn - tidspunkt - type hendelse - resultat (vellykket, ikke vellykket) Videre må det utarbeides en rutine for gjennomgang av slike registre mht følgende punkter: - hvem som skal ha ansvar for å gjennomgå registreringene? - hvor ofte registreringene skal gjennomgås? - hvordan evt. sikkerhetsbrudd eller mistanke om slikt skal følges opp? - hvem som har ansvar for sletting av registreringer ved lagringstidens utløp? Før fylkeskommunen implementerer systemer for elektronisk handel må også følgende risikofaktorer vurderes: avhengighet av IT øker i forhold til egne systemer, nettverk og leverandørenes systemer, fravær av papirdokumenter som vanskeliggjør kontroll av gyldighet, menneskelige vurderinger og sporbarhet, kompleksiteten øker, uklare juridiske områder, muligheten for å gjennomføre og skjule misligheter øker. Avslutningsvis vil vi referere noen generelle vær-varsom - regler for risikoanalyse som kan være til nytte for fylkeskommunen. Disse er: Enhver risikoanalyse og alle sikkerhetsforbedringer må baseres på grundig innsikt i den løpende virksomheten. Det er umulig å bevise eller motbevise hva akseptabel sikkerhet er, og å plassere ansvar for ulykker ved hjelp av en risikoanalyse. Risikoanalysen kan ikke alene forbedre sikkerheten. Den må være et ledd i virksomhetens organiserte sikkerhetssystem. Vellykket bruk av risikoanalyse fordrer innsikt i metoder og tilstrekkelig kompetanse til å kunne planlegge og gjennomføre analysen. En må også kunne vurdere analyseresultatene. Enhver risikoanalyse må tilpasses det behovet for beslutninger og de beslutningskriterier som kan stilles opp for systemet som skal undersøkes. Før risikoanalysen startes, må underlagsmaterialet være tilstrekkelig, slik at en får best mulig tilknytning til systemet som skal analyseres. Det er vesentlig å sikre at forutsetningene for og innholdet i risikoanalysen blir systematisk etterprøvd. Innsamling, analyse og presentasjon av data krever innsikt og varsomhet. Gyldighetsområdet for risikoanalysen må angis tydelig, slik at resultatene blir brukt der det er dekning for dem. Når en skal presentere resultatene fra risikoanalyser, må en sikre seg best mulig mot feiltolkninger.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 14 6. Elektronisk handel - forholdet til gjeldende regelverk Fordi ESTER-prosjektet er i en meget tidlig fase har fylkesrevisjonen hatt et begrenset grunnlag for å vurdere innføringen av e-handel i forhold til gjeldende regelverk. Vi vil derfor i dette kapitlet forsøke å gi en oversikt over en del lover og retningslinjer som det vil være aktuelt å vurdere en fremtidig e-handelsløsning i forhold til. Nærings- og handelsdepartementet igangsatte det såkalte eregelprosjektet, med formål å fjerne de rettslige hindringene for elektronisk kommunikasjon. Elektronisk kommunikasjon i denne sammenheng omfatter all elektronisk samhandling, som feks elektronisk handel og avtaler, elektronisk rapportering, elektronisk markedsføring, elektronisk betaling og levering, samt elektronisk saksbehandling. Fylkesrevisjonen er kjent med dette arbeidet som har resultert i Ot.prp. nr 108 (Om lov om endringer i diverse lover for å fjerne hindringer for elektronisk kommunikasjon). I proposisjonen er det presentert forslag til endringer i 39 lover for at elektronisk kommunikasjon skal kunne likestilles med papirbasert kommunikasjon. Når de foreslåtte lovendringene i proposisjonen er trådt i kraft, vil det være lagt et godt grunnlag for elektronisk kommunikasjon og samhandling i Norge. Endringer i forskrifter og instrukser som ikke krever lovendringer er i all hovedsak gjennomført og trådte i kraft 1. juli 2001. Endringer i øvrige forskrifter og instrukser skal tre i kraft samtidig med lovendringene, dvs, 1. januar 2002. Før kommunikasjon med og i offentlig sektor kan skje i praksis må det teknisk og praktisk legges til rette for dette gjennom å gi regler om bla krav om signering og autentisering, sikring av integritet og konfidensialitet, krav til produkter og standarder som skal benyttes, samt journalføring, arkivering og langtidslagring. I den kommende forskriften til forvaltningsloven vil flere av disse forholdene bli regulert, og forskriften vil være et viktig ledd for at det faktisk åpnes for elektronisk kommunikasjon. I fylkeskommunens arbeid med innføring av elektronisk handel vil følgende regelverk også være aktuelle: Lover og forskrifter Kommuneloven med forskriftene - Årsregnskap og årsberetning - Årsbudsjetter - Statlig rapportering - KOSTRA - Garantier - Finansforvaltning - Årsbudsjett, årsregnskap og årsberetning for kommunale foretak Arkivloven med forskrifter. Lov om offentlige anskaffelser med forskrifter (trådt i kraft fra 1. juli 2001) Lov om elektroniske signaturer (trådt i kraft fra 1. juli 2001) Lov om personregistre med forskrifter Straffeloven Løsbladforskriftene

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 15 Interne styrende dokumenter Reglement for anvisning Reglement for budsjettdelegasjon Alminnelig delegasjonsreglement Instruks for kjøp av varer og tjenester Rutinebeskrivelse for attestasjonsoppgaven Normalreglement for økonomisk internkontroll og kvalitetssikring IT-strategi for STFK I ny lov og forskrift om offentlige anskaffelser er det verdt å merke seg at de viktigste endringene er at det nå innføres et felles regelverk for statlige, kommunale og fylkeskommunale innkjøp uavhengig av innkjøpenes verdi. ESTER-prosjektet må sette i gang et arbeid for å oppdatere fylkeskommunens interne regelverk mht å ta i bruk elektronisk handel. I dette ligger også at det må utarbeides en fullmaktsstruktur som er tilpasset en elektronisk verden. Som revisorer er vi opptatt av at elektroniske rutiner og dokumenter tilfredsstiller kravene i lover og bestemmelser. Videre er det vesentlig at rutinene tilfredsstiller grunnleggende krav til intern kontroll. Hovedkravet i forbindelse med innføring av elektroniske rutiner, papirløse bilag og elektroniske signaturer er at det må være et ordnet og betryggende system. Et grunnleggende krav her er at transaksjonene skal kunne følges fra bilagene gjennom systemene til de til slutt ender opp i regnskapet og motsatt vei. I løsbladforskriften er det under visse forutsetninger åpnet for elektroniske bilag. Blant annet må systemene være dokumentert slik at en normalt IT-kyndig person forstår disse. Et hovedkrav til bilag er at de skal være legitimert ved originale papirbilag. Det er imidlertid gitt muligheter for andre former enn papir dersom opprinnelse og innhold kan etterprøves på en like dekkende måte. Papirbilag har en del egenskaper som gjør det lett å dokumentere originalitet og det er enkelt å lese og forstå og det er vanskeligere å foreta dokumentforfalskning. Når det gjelder elektroniske bilag, vil det være betydelig mer komplisert å tilfredsstille disse kravene. Det må derfor etableres helt nye rutiner for å sikre originalitet, innhold, oppbevaring og lesemuligheter. Videre innebærer dette også at de elektroniske rutinene fram til originalbilaget er lagret på et ikke slettbart datamedium må være tilfredsstillende for å redusere risikoen for bevisste og ubevisste endringer eller slettinger underveis. Det stilles krav til sikker oppbevaring av originalbilag i 10 år. Informasjonen skal være lett tilgjengelig og lesbar for eventuell kontroll i oppbevaringstiden. Dette krever bla utskriftsmulighet enten på papir eller skjerm.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 16 Et bilag vil i tillegg til å være dokumentasjon for en transaksjon også være grunnlaget for den interne kontrollen i virksomheten. En kontroll kan f eks gå ut på å påse at et krav er korrekt, at det ikke er betalt tidligere, at fakturaen er godkjent (attestert og anvist). I et system med elektroniske bilag og rutiner vil kontrollene i større grad bli utført av IT-systemer i stedet for mennesker. Fordeler vil være betydelige kostnadsbesparelser og reduksjon av feilkildene (mao systemer har ingen dårlige mandager og sykedager). Men med dårlig kvalitet og sikkerhet på IT-systemene vil fordelene snus til betydelige problemer. Det er viktig å være klar over de kvaliteter en årvåken menneskelig kontroll representerer og at bortfall av denne må kompenseres ved at det bygges inn automatiske kontroller i de elektroniske rutinene. Et eks. kan være at det bygges inn rimelighetskontroller som sikrer at transaksjoner som er over fastsatte beløpsgrenser blir avvist og lagt på et avviksregister for en manuell gjennomgang og kontroll. Et annet eksempel kan være en avvikskontroll på fakturaer som ikke stemmer med det som er avtalt. I en elektronisk verden vil man heller ikke ha de normale attestasjoner og anvisninger på bilagene. Her vil viktigheten av å ha gode sikkerhetssystemer som begrenser den enkeltes tilgangsrettigheter og fullmakter være avgjørende. En mulighet er å etablere et system med elektronisk signatur. Fordelen med elektronisk signatur er at det legges igjen spor på transaksjonen som identifiserer hvem som har initiert eller godkjent den. På denne måten vil man kunne oppnå samme grad av kontrollmulighet som i tradisjonelle papirbaserte rutiner. I elektronisk baserte rutiner vil det være viktig å kunne spore hvordan transaksjonene behandles og eventuelt endres underveis og under oppbevaring. Dette stiller krav til at alle kritiske transaksjoner og hvem som har utført dem blir logget. Alt i alt må det etableres sikkerhetsrutiner som er tilpasset informasjonens viktighet og de risikoer som man kan bli utsatt for. De interne kontrollrutinene må tilpasses den elektroniske hverdagen. Bortfall av papirbilag og manuelle kontroller må kompenseres med automatiske kontroller og et tilfredsstillende sikkerhetssystem.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 17 7. Innkomne høringsuttalelser Fylkesrevisjonen sendte utkast av rapporten Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune fase 1 til høring til de personene i sentraladministrasjonen og ved RiT som er sentrale i arbeidet med innføring av elektronisk handel i fylkeskommunen, og som fylkesrevisjonen har vært i kontakt med i forbindelse med gjennomføringen av dette forvaltningsrevisjonsprosjektet. I denne gruppen inngår fylkesrådmannen, medarbeidere ved regnskaps- og innkjøpsseksjonen ved RiT, samt prosjektleder for innføring av elektronisk handel ved RiT og i fylkeskommunen for øvrig. I tillegg har direktøren ved RiT og økonomidirektøren i Sør-Trøndelag fylkeskommune fått høringsutkastet til rapport som gjenpartsadressat. I høringsutkastet til rapport var sammendrag og fylkesrevisjonens konklusjoner utelatt, siden konklusjonene også vil bygge på de innkomne høringsuttalelsene. Utkast til rapport ble sendt på høring den 28. september og høringsfrist ble satt til 19. oktober 2001. Fylkesrevisjonen har mottatt kommentarer til høringsutkastet fra fylkesrådmannen v/ økonomidirektøren og prosjektlederen i fylkeskommunens e-handelsprosjekt (ESTER) i brev av 18. oktober 2001. Kommentarene har vært et konstruktivt bidrag i forvaltningsrevisjonsprosjektet og har bidratt til å presisere forhold i prosjektrapporten som kunne vært gjenstand for misforståelser. Fylkesrevisjonen har tatt de fleste innspillene i fylkesrådmannens høringsuttalelse til følge i den endelige prosjektrapporten. Vi viser for øvrig til høringsuttalelsen som er gjengitt i sin helhet som vedlegg 2 i rapporten. Fylkesrevisjonen vil takke alle som har bidratt, særlig prosjektlederen i ESTER-prosjektet, for godt samarbeid og konstruktive bidrag til fylkesrevisjonens arbeid gjennom hele forvaltningsrevisjonsprosjektet om innføringen av elektronisk handel i fylkeskommunen.

Innføring av elektronisk handel i Sør-Trøndelag fylkeskommune Side 18 8. Fylkesrevisjonens konklusjoner 8.1 Innledning Ved å gå inn i arbeidet med innføring av elektronisk handel i Sør-Trøndelag fylkeskommune i en såvidt tidlig fase har fylkesrevisjonen i liten grad mulighet til å foreta en tradisjonell vurdering av arbeidet. Vi har i stedet søkt å vurdere arbeidet så langt, samt planene for fremtidig arbeid, og har prøvd å gi innspill til prosjektet ut fra vårt ståsted som tilsynsorgan. Gjennomføring av innkjøp ved bruk av elektroniske hjelpemidler kan bli den dominerende måten å handle på innen få år. Beregninger viser at det ligger et potensiale i å effektivisere innkjøpsprosessene på denne måten og at elektronisk handel kan gi store virksomheter bedre oversikt og styring med sine innkjøp. Når mulighetene og løsningene som ligger i elektronisk handel samtidig kan kobles opp i mot, og integreres i, virksomhetenes interne økonomi- og regnskapsfunksjoner blir effektiviseringspotensialet betydelig. Iverksettelse av endringer i innkjøpsrutinene medfører større risiko for feil i en overgangsfase. Dagens regelverk og interne retningslinjer for innkjøp og intern kontroll er bygget opp over lang tid og etablert i takt med en jevn utvikling og modernisering av innkjøpsprosessene. Innføring av elektronisk handel medfører raske og omfattende endringer av innkjøpsrutiner og interne innkjøps- og økonomifunksjoner. Dette stiller store krav til den enkelte ansatte og organisasjonen i forhold til å bygge opp ny kompetanse og nye systemer. Videre må det etableres nye rutiner for intern kontroll som både sikrer effektiv drift og samtidig skaper sikkerhet for at feil og uønskede hendelser ikke oppstår. Systemene må dessuten sikre at eventuelle uønskede hendelser oppdages og korrigeres raskt. Fylkesrevisjonen er positiv til at fylkeskommunen søker å effektivisere sine innkjøpsrutiner gjennom elektronisk handel, men vil samtidig påpeke at sikkerhetsproblematikken må tas på alvor. Videre er det viktig å ta ut det effektiviseringspotensialet som innføring av elektronisk handel forutsettes å gi, og å overføre disse ressursene til mer produksjonsrettet arbeid. 8.1.1 Status vedrørende innføring av elektronisk handel ved RiT Prosjektet med innføring av elektronisk handel ved RiT har stoppet opp, og sykehuset foretar pr i dag ikke innkjøp som kan karakteriseres som elektronisk handel. Arbeidet med etablering av en e-handelsløsning har således ikke gitt de resultater som man i utgangspunktet håpet på. Prosjektet tok ikke godt nok høyde for at leverandørene ikke var forberedt på elektronisk handel. For tiden kan det se ut som at konseptet med en tradisjonell e-handelsløsning mellom kunde og leverandør vil erstattes av internettbaserte elektroniske markedsplasser der aktørene i mindre grad er avhengig av hvilke IT-løsninger som er valgt i egen virksomhet. Det må imidlertid legges til at på den tiden RiT gikk inn i prosjektet, var den valgte løsningen naturlig i forhold til de alternativene som den gang var tilgjengelige. Selv om RiT så langt