"Beschaffungsprozess wurde nicht korrekt durchgeführt"

29. April 2021, 12:44
  • beschaffung
  • e-government
  • schweiz
  • regulierung
image

Die Finanzkontrolle kritisiert die Exportrisiko-Versicherung dafür, wie und dass sie ein SaaS-Produkt beschaffte, das On-Prem gebaut wird.

Die Schweizerische Exportrisikoversicherung (SERV), eine öffentlich-rechtliche Anstalt des Bundes würde gerne Microsoft Navision ersetzen und hat dafür 8,6 Millionen Euro über 5 Jahre für Entwicklung und den Betrieb budgetiert. Doch das SERV-Projekt war in Schieflage geraten: "In ihrer Prüfung ist die Eidgenössische Finanzkontrolle (EFK) zur Auffassung gelangt, dass der Erfolg des Projekts innerhalb der gesetzten Fristen ernsthaft gefährdet ist. Dass das Lieferdatum für die endgültige Lösung bereits zweimal verschoben wurde, ist bezeichnend", heisst es zum im soeben publizierten Bericht zum Projektstand im Juli 2020.
Die SERV hatte sich für ein SaaS-Produkt von Tinubu Square entschieden. Der Zuschlag wurde nach einem Einladungsverfahren mit 4 Anbietern 2019 als Freihänder an die Franzosen vergeben. Am liebsten hätte die SERV sowieso einen Freihänder vorgenommen, aber liess es dann doch sein, so der Bericht. Schliesslich lautete die SERV-Begründung für den Zuschlag: "Wirtschaftlich günstigstes Angebot, insbesondere aufgrund folgender Kriterien: Zweckmässigkeit der Leistung, Termin, Funktionalität, während der gesamten Lebensdauer zu erwartenden Kosten, Servicebereitschaft", wie es auf Simap heisst.
Seither erwuchsen laut EFK Probleme auf ganz unterschiedlichen Feldern – von der Projektsteuerung über grundsätzliche Entscheidungen, den Funktionsumfang, bis hin zu lückenhaften oder fehlenden "Schlüsselkonzepten" wie Betriebs-, Integrations-, Migrations-, Test- oder Informationssicherheits- und Datenschutzkonzepte.
Mängel fanden die Prüfer zudem in den Verträgen, bei der Budgetverwaltung des Projektes sowie dem Beschaffungsmanagement, geht aus dem Bericht hervor.
Also war schon bei der Beschaffung einiges schiefgelaufen, darf man schliessen. Die EFK hält fest, dass im Einladungsverfahren "die detaillierten Evaluationskriterien und das Bewertungsschema den Anbietern nicht bekanntgegeben" wurden. "Zudem wurde der Evaluationsbericht nicht unterzeichnet." Fehlende Ressourcen rund um Compliance-Vorgaben und das Fehlen von Beschaffungs-Know-how in der Linie seien ebenfalls zu konstatieren, so die EFK-Prüfer. Ihr deutliches Fazit: Der Beschaffungsprozess wurde nicht korrekt durchgeführt, ein offenes Verfahren wäre nötig gewesen.

Man hätte die Unsicherheiten kennen können

Was waren die Folgen? Die SERV entschied sich für eine französische SaaS-Lösung, also aus einer Cloud, ohne die rechtlichen Vorgaben und Rahmenbedingungen vorher abzuklären. Als sie dies dann mit einem Rechtsgutachten nachgeholt hatte, entschied die SERV, die Tinubu-Lösung müsse als On-Prem-Lösung in den eigenen Räumen laufen, statt als SaaS-Hosting bei AWS in Deutschland. Womit die Franzosen kein SaaS-Produkt mehr liefern sollen wie vereinbart, sondern ihre On-Prem-Lösung und diese ergab diverse Diskussionspunkte.
Diese Unsicherheiten hätte man kennen können, sagt die EFK verklausuliert, aber man hätte angesichts der zu erwartenden Entwicklung der Rechtslage im Cloud-Bereich auch den Bundesrat um Erlaubnis für die Cloud anfragen können. Es "drängt sich bei veränderter Rechtslage eine erneute Analyse auf", glaubt die EFK, welche SaaS-Standard-Lösungen nicht ablehnend gegenübersteht.
Nichts zu bemängeln hat die EFK dagegen beim Anbieter-Produkt an sich, im Gegenteil. Sie hat offenbar einen vergleichbaren ausländischen Tinubu-Kunden kontaktiert. "Ihrer Ansicht nach sei es empfehlenswert, den bestehenden und vorgeschlagenen Standard von Tinubu so weit wie möglich zu verwenden und spezifische Entwicklungen auf das unbedingt Notwendige zu beschränken", haben die Prüfer aus der Recherche gelernt.
Es ging und geht nicht anders als On-Prem, widersprechen die SERV-Verantwortlichen, ausserdem haben die Verantwortlichen einen agilen Weg zum Standardprodukt gewählt. Doch dazu später.
Jedenfalls schreibt die SERV in ihrer Stellungnahme, man bemühe sich seit dem letzten Jahr – dem Prüfungszeitpunkt – auch, "den Anforderungen eines professionellen IT und Business Transformationsprojektes" gerecht zu werden: "Das Projektmanagement wurde an eine neue Projektleitung übergeben, 10 FTE wurden temporär eingestellt, wöchentliche Reportingprozesse inklusive Risikomatrix und Mitigationsaktivitäten wurden eingeführt". Zudem habe man die Vorgaben für künftige Beschaffungen geändert, hält das SERV-Management fest.
Aktuell geht die SERV von einem Go-live Termin Ende 2021 aus und das Management sei zuversichtlich, dass der Termin auch haltbar sei.

Von Konkursrisiken und Fixpreisen

Es gibt allerdings noch versteckte Risiken zu mitigieren, denn die Tinubu-Geschäftszahlen wecken bei den EFK-Prüfern Sorgen: "Angesichts der Ergebnisse des Unternehmens in den letzten vier Jahren ist das Risiko eines Konkurses (Liquiditätsrisiko) trotz eines starken Anstiegs des budgetierten Umsatzes für die kommenden Jahre nicht völlig ausgeschlossen." Einen relevanten Teil dieser Risiken habe man vertraglich im Griff, hält die SERV nun fest. Den Rest werde man in Form eines Nachtrags in das Vertragswerk bis "zum Ende Stabilisierungsphase Q1 2022" umsetzen, sagt die Anstalt, die sich üblicherweise mit politischen und Delkredererisiken beim Export von Gütern und Dienstleistungen befasst.
Die oft kritisierten Kostenüberschreitungen werde es auch unter diesen Umständen nicht geben, versichert der Auftraggeber: "Basierend auf den Anforderungen hat die SERV einen Fixpreis mit Tinubu abgeschlossen, in dem somit der Lieferumfang, der Preis und auch der Lieferzeitpunkt festgelegt wurde. Tinubu hat mit dem Abschluss des Vertrages bestätigt, dass der Lieferumfang zu dem fixen Preis und zu dem abgemachten Zeitpunkt geliefert werden kann."

Was ist denn ein Minimal Viable Product genau?

Ganz unterschiedlicher Meinung sind die EFK und die SERV bezüglich dessen, was ein Minimal Viable Product (MVP) in einem Fixpreis-Projekt sein müsste. "Ein MVP sollte die minimalen Funktionalitäten bieten, die für eine erste Betriebsaufnahme notwendig sind", schreiben die Prüfer. Die SERV solle doch mit oberster Priorität prüfen, "ob der produktive Betrieb mit einer minimalen Variante des Softwareprodukts verlässlich aufgenommen werden könnte."
"Ein MVP ist ein Zwischenergebnis auf dem Weg zu einem Endprodukt, das am Anfang nicht bekannt ist", widerspricht die SERV nun und erklärt, man sei eben agil unterwegs. Man habe aber ein "klares Verständnis" über das Endprodukt und dieses sei auch in den Requirements definiert. "Basierend auf den Anforderungen hat die SERV einen Fixpreis mit Tinubu abgeschlossen".
Zudem sei "aus SERV Sicht das Management des Lieferumfangs in einem Fixpreis mit einem fixen Lieferumfang ein fortlaufender Prozess und kein einmaliges Ereignis".
Die EFK ist mit der Ablehnung ihrer Empfehlung nicht einverstanden und kündigt an, sie werde am Thema dranbleiben.
"Die Empfehlungen im EFK Prüfbericht und die raschen Umsetzungsbemühungen der SERV zeigen, dass die SERV von der Expertise der EFK profitiert und die richtigen Schlüsse gezogen hat", lobt derweil das Staatssekretariat für Wirtschaft (SECO) die EFK, die SERV und sich selbst.
Bleibt nur noch die Frage: Ist die avisierte Schweizer Tinubu-On-Prem-Lösung tatsächlich das "wirtschaftlich günstigste Angebot, insbesondere aufgrund folgender Kriterien: Zweckmässigkeit der Leistung, Termin, Funktionalität, während der gesamten Lebensdauer zu erwartenden Kosten, Servicebereitschaft"? Die 3 Anbieter, welche im Einladungsverfahren verloren haben, die EFK und die Öffentlichkeit sind gespannt.

Loading

Mehr zum Thema

image

Zürcher Datenschützerin zum Cloudeinsatz: "Der Regierungsratsbeschluss ändert gar nichts"

Bei Dominika Blonski häufen sich seit dem Frühling Anfragen von Behörden zur Cloudnutzung. Im Gespräch sagt die Datenschützerin: "Ich weiss nicht, was die Absicht der Zürcher Regierung war."

publiziert am 30.9.2022 7
image

Softwareone erhält an einem Tag 2 Freihänder für fast 14 Millionen Franken

Der Stanser IT-Dienstleister ist bei Swissgrid Reseller für Standardsoftware und kann fürs Stadtzürcher OIZ die Lizenzen für die Microsoft-EDR-Lösung liefern. Dafür kassiert Softwareone Millionen.

publiziert am 30.9.2022
image

ALV braucht IT-Know-how für bis zu 55 Millionen Franken

In 8 Arbeitsgebieten sucht das Seco Digitalisierungs-Knowhow für die RAVs und die Arbeitslosenversicherung.

publiziert am 30.9.2022
image

Palantir übernimmt 230-Millionen-Auftrag, um US-Drohnen effizienter zu machen

Der opake Datenanalyse-Konzern des rechtslibertären Milliardärs Peter Thiel gibt auch in Europa wieder zu Reden. CEO Alex Karp inszeniert sich als kritischer Geist.

publiziert am 30.9.2022