Statlige dataskandaler

Offentlige dataskandaler er verken typiske eller unike for offentlig satsing på IT, men reflekterer et behov for kunnskap om teknologien i et «ikke-teknologisk» perspektiv i offentlig forvaltning.

Dagbladet har torsdag 27. juni et oppslag om offentlige dataskandaler, og ut fra oppslagets form er det lett å få det inntrykket at skandaleprosjekter er typisk for store offentlige data- eller IT-prosjekter. Det er imidlertid viktig å være klar over at så ikke er tilfelle. Vi har en rekke eksempler på det motsatte. Staten bruker årlig over 1,5 milliarder kroner på innkjøp av varer og tjenester i forbindelse med IT, og langt de fleste av de kronene går ikke til prosjekter av den type som Dagbladets artikkel refererer til. Utvalgte skandaleprosjekter finner en dessuten i stort monn både i offentlig og i privat sektor, og de er ikke begrenset til å gjelde IT. Det oppslaget peker på, er at IT-prosjekter er vanskelige og får ofte en størrelse som lett gjør dem sårbare og til kandidater for skandaler.

Tabbelisten gjenspeiler at det finnes et stort og udekket behov for kompetanse omkring bruk, innføring og styring av IT både i offentlig og i privat sektor.

Størrelsen på de ulike skandaleprosjektene Dagbladet omtaler, indikerer noe om problemstillingenes kompleksitet. Jeg vil her illustrere at utfordringene omkring offentlig satsing på IT og styring med store statlige IT-prosjekter er forhold som det offentlige tar alvorlig, både i Norge og i f.eks. OECD.

For å starte med det selvsagte: Store statlige dataskandaler har tre kjennetegn: 1) de er store, 2) de er offentlige og 3) de er knyttet til datateknologi (IT).

La oss ta det første kjennetegnet først: Dagbladet nevner i sitt oppslag ti skandaler, og langt de fleste av dem er prosjekter på flere hundre millioner kroner. Dette har sammenheng med at forvaltningen er, som samfunnet ellers, nær sagt totalt avhengig av IT til å løse alle sine oppgaver, og at IT-prosjekter omfatter store deler av organisasjonen. Sammenlignet med private foretak i Norge som stort sett har under ti ansatte, blir statlige IT-prosjekter, som kan omfatte fra tusenvis til over en million «brukere», nødvendigvis langt større.

Det andre nevnte kjennetegn er at de er offentlige. De er utsatt for offentlig kontroll og innsyn. Dette gjør at de blir omtalt. OECD har påpekt at private virksomheter har tilsvarende problemer - men vi hører ikke om dem! Feilslåtte datainvesteringer i private virksomheter er ikke god reklame verken overfor eiere eller kunder. Det blir ofte hevdet at budsjettutforming og budsjettrutiner i det offentlige er politiske fordi de tilgodeser store prosjekter, noe som igjen betyr at når det går galt, går det fryktelig galt. Det er mulig, men også private virksomheter har beslutningsprosesser som er preget av «politikk».

Det tredje kjennetegn er at de er knyttet til IT. I denne sammenhengen er det to særtrekk ved IT som er viktige: 1) IT er en ny teknologi og en teknologi som er i hurtig endring, og 2) IT har gått over fra å være et verktøy til å bli altomfattende og en premissleverandør mht. hvordan virksomheter organiserer seg og utfører sine oppgaver og hvilke oppgaver de utfører. Statlig forvaltning består i virkeligheten hovedsakelig av informasjons- og kunnskapsintensiv produksjon av tjenester. Informasjonsbehandling og IT utgjør dermed en stadig større del av forvaltningens arbeid.

Hva må gjøres?

Skal vi unngå ubrukelige systemer og budsjettoverskridelser har vi store utfordringer mht. å bygge opp nødvendig kunnskap både om innføring, bruk og virkninger av IT og om IT-prosjektstyring både i offentlig og privat sektor.

Slik sett er det forbausende hvor lite ressurser som går til å bygge opp kunnskap omkring dette i Norge. Ser vi mot Europa, finner vi tunge satsinger hvor forvaltning og akademia går sammen om å forske på sosiale og økonomiske aspekter ved IT. Norges forskningsråd (NFR) er i ferd med å utvikle ny forskningsstrategi for IT; fremdeles kan det virke som tenkningen er preget at det skal lages smarte bokser, mens det i liten grad fokuseres på hvordan dette skal tas i bruk, hvorfor og av hvem. Hvis strategene i NFR vurderer dette som teknologispredning og ikke forskning, bør de kanskje også vurdere om det er på tide å gi opp den lineære modellen for innovasjon.

Flere prosjekter Statskonsult har gjennomført, påpeker nettopp behovet for økt kunnskap omkring teknologiens forutsetninger og virkninger i tilknytning til konkrete etatsoppgaver. Dette er et behov vi finner spesielt blant strategiske funksjoner i statlig forvaltning. Det finnes i dag dedikerte vitenskapelige miljøer for en rekke ulike samfunnsforhold. Kanskje NFR skulle forsøke å ta skrittet ut i e-samfunnet med å bistå til å opprette et IT-kunnskapsmiljø som ikke kun har som oppgave å lage smarte bokser, men vurderer IT som et middel til å få folk og organisasjoner til å kommunisere. Hvordan dette skjer best og hvilke forutsetninger som skal til, vet vi altfor lite om.

Kunnskapsoppbygging er en langsiktig prosess, vi må også ha en kortsiktig strategi. I Dagbladets artikkel kommenterer medlem i Stortingets kontrollkomité Kari Økland forholdene. Hun peker på at prosjektene i for liten grad kvalitetssikres mht. om de virker. Til det kan jeg bare gi min tilslutning, men dette krever at vi vet hvordan vi gjør det, og vet hvilke krav som skal stilles for at systemene skal virke som forutsatt når de blir tatt i bruk. Mye av denne kunnskapen mangler i dag. Hennes andre resept er å satse på trygg teknologi. Også her kan jeg i utgangspunktet gi henne min tilslutning, men IT er et felt hvor teknologien endres så raskt at det er vanskelig å peke på hva trygg teknologi er. I praksis vil stort sett alle IT-løsninger inneholde «nye løsninger». Det betyr at kun å basere seg på gjennomprøvde løsninger vil bli å stoppe opp. Dette er derfor ikke en strategi som en moderne forvaltning kan benytte.

En strategi hvor man tvert imot innser at innføring av IT og gjennomføring av IT-prosjekter inneholder et ikke ubetydelig risikoelement og hvor en benytter metoder til å redusere og styre denne risikoen, vil være riktigere. Dette betyr at jo, vi må eksperimentere, men ikke på en slik måte at feilsteg får konsekvenser i den størrelsesordenen som Dagbladet viser til. I Statskonsult og OECDs resept inngår derfor å modularisere prosjektene slik at risikoen spres utover og problemer ett sted ikke forplanter seg utover. I tråd med dette ser vi også et behov for en langt mer skrittvis tilnærming enn det som ofte presenteres i offentlige strategier, hvor målgruppen for IT-prosjekter skal være tilnærmet hele befolkningen, og omfanget av tjenestene totale. Småskalautprøving og prototyping må være en selvsagt del av alle IT-prosjekter.

I en kommentar fra bransjen påpekes det at det offentlige ofte ikke er krevende og kompetente kunder. Også her må det påpekes at dette ikke er typisk for statlig sektor og dessuten at krevende kunder krever kompetente leverandører. Prosjektene Dagbladet refererer til er gjerne gjennomført av eksterne utførere. Det er litt for enkelt å tro at når det går galt, skyldes det kun manglende kunnskap hos kjøperne. Det sier seg selv at med et statlig marked for IT-produkter og tjenester på over 1,5 milliarder kroner i året kan en regne med at seriøse leverandører gjør sitt ytterste. Mislykkede prosjekter er ikke god kundepleie, heller ikke vis-à-vis det statlige. En av Statskonsults mest etterspurte tjenester er juridisk bistand til kontraktsinngåelse. Det som viser seg, er at også flere private aktører finner tjenesten nyttig, noe som igjen peker på at for IT og IT-prosjekter er ikke usikkerhet og kunnskapsbehov noe særegent for offentlig sektor.

Offentlige dataskandaler er altså verken typiske eller unike for offentlig satsing på IT, men reflekterer et behov for kunnskap om teknologien i et «ikke-teknologisk» perspektiv i offentlig forvaltning. Denne kunnskapsmangelen finner vi også igjen i forskning og næringsliv. Som en sentral aktør bør det offentlige bidra til at slik kunnskap etableres og blir tilgjengelig. Beløpene artikkelen peker på antyder noe om de mulige gevinstene.