Tio saker att tänka på under inköp

Hm, vilka krav har vi egentligen, vilka är vettiga och viktiga att ha med och vem avgör egentligen det?

Ni gör en upphandling då och då, leverantörerna svarar på många. Ett tidskrävande jobb där kravställningarna har varierande kvalitet och tydlighet. Leverantörerna svarar på många upphandlingar och har tolkningsföreträde, så hur tolkas egentligen det ni formulerar? Hur kravställer ni för att säkerställa interoperabilitet, att ni äger och kan flytta data? Hur ser en vettig utvärderingsmodell ut? Hur minskas risken för överklagan? Hur ska avtalen se ut för att skapa balans?

Tänk på att en kravställning bygger på hur avtalen ser ut och bör alltid börja med en informationssäkerhetsklassning. Vilken sorts information är det som ska hanteras, vilka krav finns på den?

Att välja, formulera, prioritera behov och krav

Tio saker att tänka på under inköp

1. Beskriv behoven. Istället för att lista krav på specifik funktionalitet, kan man beskriva behoven utifrån situation, beteende och även motivation hos olika användare för att sedan be leverantör förklara på vilket sätt systemet stöttar.

2. Dela upp kraven i upphandlingsunderlaget i ska och bör efter era verkliga behov. Utgå från en informationssäkerhetsklassning för att få med generiska ska-krav kopplat till säkerhet. Arbeta med viktningen av bör-kraven för att visa vilka bör-krav som är mer prioriterade än andra. Fundera också igenom och beskriv vilka utbildnings- och kompetenshöjande insatser ni vill arbeta med tillsammans med leverantören.

3. Ta fram en realistisk kravställning. Var tydlig med omfattning och volym. Undvik detaljstyrning via kraven. Se över om ska-kraven är i proportion till behovet. Antalet ska-krav påverkar antal leverantörer som kan svara på anbudet. Ju fler krav desto färre leverantörer, vilket kan leda till högre priser.

4. Säkerställ krav på interoperabilitet. Se till att era olika digitala tjänster kan kommunicera och utbyta data med varandra på ett effektivt, säkert och ändamålsenligt sätt. Krav på interoperabilitet innebär också att ni vid avslut kan föra över den data ni behöver till eventuellt arkiv eller ny digital tjänst i överenskommet format.

5. Välj lämplig utvärderingsmodell så att ni verkligen får det ni vill ha, som uppfyller syftet med upphandlingen. Prioritera och vikta kostnad, kvalitet och tid. Fundera igenom er beräkningsmodell, igen utifrån syfte och upphandlingstyp. Modellen kan bli avgörande.

6. Kravställ relationen mellan kund och leverantör och hur den ska fungera, definiera ansvaren och förväntningarna på varandra.

7. Alla leverantörer har bra kompisar. Om ni vill använda referenser i upphandlingen, gör det som kvalificeringskrav, inte i utvärderingen. Men tänk på att krav på referenser kan försvåra för nyetablerade, innovativa företag och hindra dem från att svara på upphandlingen.

8. Testkör. Ha med genomförandescenarion/test/demo/utvärdering av tjänsten som en obligatorisk del i inköps- och upphandlingsprocessen. På så sätt kan ni testköra och säkerställa att anbudet är vad som beskrivs. Tänk på att utvärdera och testa utifrån de olika användarrollerna som kommer finnas (elever/studenter, lärare, rektorer, chefer, medarbetare, administratörer, HR m.fl.).

9. Be leverantörerna att presentera sina anbud för att undvika missförstånd och tolkningar. Verifiera och kontrollera anbudet ordentligt.

10. Ha balanserade avtal. Utgå från standardavtal som finns, med huvudavtal, PuB-avtal och SLA (Service Level Agreement). Diskutera igenom vad som skulle vara skäl för avtalsbrott för er del, vilka är de viktiga parametrarna att uppfylla initialt osv.

Ytterligare medskick från branschen

En bra kravställning, hur ser den egentligen ut? Kan vi från branschen, leverantörerna, konkretisera lite mer för att hjälpa er kravställare utan att styra?

Hur kravställningen bör formuleras och se ut beror självklart på vad det är som ska upphandlas. Fokus för det här materialet är primärt mjukvarutjänster, SaaS-tjänster (tjänster som tillhandahålls över internet). I arbetet med att ta fram det här materialet har några saker återkommit som viktiga och gemensamma inspel oavsett tjänst som levereras. Nedan listar vi dem som ytterligare branschgemensamma tips.

  • Tänk på att det är skillnad på tjänster som har få användare (HR-system, skoladministrativa system) och de med många, många fler användare.
  • Våga ha färre ska-krav. För många ska-krav utesluter leverantörer. Ska-krav ska alltid följas upp för att säkerställa leverans och här kan det visa sig att det man trodde var ett ska-krav inte är så viktigt trots allt. Det här ställer till det i såväl kravställning som uppföljning av avtal (se även vår enkla flödesskiss nedan)
  • Följ upp era avtal. Ifrågasätt om något inte levererats som avtalat. Det är en kvalitetssäkring.
  • Behov- och syftesbeskrivningar uppskattas av leverantörerna. Det blir tydligare för leverantörerna vad det är man vill uppnå och därmed mer lika villkor i konkurrensen om er kunder. 
    • Det är alltid kunden som äger behoven och det är viktigt att dessa framgår. 
    • Tänk på att beskriva behoven utifrån olika roller i verksamheten. Olika roller har olika behov och därmed olika syften och mål med användningen. 
    • Kraven ska avspegla och beskriva behoven, men så avgränsat och tydligt som möjligt. Undvik för öppna frågor som t.ex. “Finns rapportfunktion? Om ja, beskriv vilka”, utan försök istället att avgränsa: “Finns rapportmodul som innehåller rapporterna xx, xx och xx?”
    • När man svarar ja på ett krav, ska man förstå vad det är som ska levereras. 
    • Innovationspartnerskap uppskattas ofta, då det ger tillfälle till just innovation och gemensam utveckling.

Ska-krav eller inte ska-krav?

Att ha ska-krav i upphandlingarna kan kännas som en trygghet, men det är en falsk sådan. Alltför många ska-krav hämmar marknaden och utvecklingen på flera sätt. Ni får inte teckna avtal med en leverantör som inte uppfyller samtliga ska-krav ni listat. Ni måste validera dem och följa upp dem. Det finns absolut några ska-krav som är verkliga ska-krav, men i övrigt är bör-krav mindre exkluderande och skapar därmed bättre möjligheter att skapa det ni vill ha tillsammans med leverantören. Att avvika från ett ska-krav längre fram är inte tillåtet.

När ni avgör om era krav är Ska- eller Bör-krav, provtryck och gör konsekvensbedömningar.  Är det lagkrav? Blir systemet obrukbart om kravställd funktionalitet fallerar? Nedan ett enkelt flödesschema som hjälp.

Pris och utvärdering

Ni får det ni betalar för. Men hur ska ni veta om priset är rimligt? Kan det ibland vara smartare att utgå från “vi har den här påsen pengar, vad kan vi få för det?” istället för att låta priset styra kravställning och utvärdering? 

  • Provtryck utvärderingsmodellen för att undvika missförstånd, att inte få det ni tycker att ni kravställt.
  • Låt bedömningen av funktionella krav väga tyngre än pris.
  • Undvik dolda kostnader. Ha koll på kravställningen -> leverantörenas svar -> avtalen. Avtalen är en spegling av kravställningen som ska följas upp. För flera tjänster får avtalsvärdet inte överstiga 10% (LOU, avsnitt 13, paragraf 9). Läs me om avtal här.
  • Leverantörer som begär sekretess: tänk efter om det bör godkännas, vilka för- och nackdelar finns, vad ligger bakom begäran, vilka blir konsekvenserna?

Fler tips – generella och utifrån roll

Tänk svår & enkel

Det vill säga: försök göra er upphandling svår för leverantörerna att göra fel på, men så enkel som möjligt att svara på utifrån de krav och behov ni har. Ni vill ju ha in många svar så att det ni upphandlar konkurrensutsätts och att ni till slut landar i det som bäst lever upp till era behov. Tänk därför ett varv utifrån leverantörens perspektiv, så att arbetet som leverantören behöver lägga ner på upphandlingen inte är alltför omfattande och att det tydligt framgår vad som krävs i ett anbud. Det kan man till exempel göra genom att bifoga en checklista. I de flesta upphandlingsverktyg finns också funktionalitet för att förhindra att leverantören gör fel, till exempel att man inte kan lämna in ett anbud om man inte har bifogat en sanningsförsäkran.

Säkerställ att avtal och kravställning stämmer överens

Kravställningen bygger på avtalen, så om ni kopierar text från andras upphandlingar till er kravställning eller om ni kopierar andras avtal, se till att avtalsvillkoren är tillämpningsbara och att underlagen stämmer överens. Glöm inte heller att det i avtalet ska framgå hur allt ska fungera vid ett avslut, när ni ev. ska byta tjänst framöver (avtala och kravställ för interoperabilitet). Fundera också igenom vilka parametrar som är viktiga för er del när det kommer till avtalsbrott och ev. vite.

Detaljstyrning ger dyrare lösning

En detaljstyrning med många ska-krav kan leda till kundspecifika anpassningar, vilket i sin tur kan bli en dyrare lösning. Säkerställ att ni är överens om behoven och vilka ska-krav som verkligen behövs och vilka som är bör-krav som kan viktas utifrån såväl kvalitet som hur prioriterat behovet är i förhållande till pris, tid osv

Tips utifrån roll

Verksamhet

Arbeta tillsammans. Bjud in upphandling och it till eventuella leverantörsmöten för förståelse kring vad det är ni vill uppnå, för att få koll på eventuella begränsningar, beroenden osv. 

Genomför informationssäkerhetsklassningen tillsammans med de kompetenser som behövs, såväl jurist, infosäk och it, som framtida användare från verksamheten, beroende på vad det är ni upphandlar.

Upphandlare

Var delaktig så långt det är möjligt i dialog med verksamhet och leverantörer för att förstå scenarion, syften och utifrån det lämplig utvärderingsmodell osv

It

Är ni redo för det som kravställs eller behöver ni dra i bromsen? Är det realistiskt, kommer ni kunna leverera det som behövs?

Var öppen och transparent med hur det ser ut idag, vad som fungerar, vad som eventuellt behöver utvecklas (och därmed kosta) och vad som eventuellt är icke-frågor utifrån lagar, regler, informationssäkerhet osv. Läs på om relevanta standarder så att ni kan hjälpa till att kravställa dem korrekt

Kravställning för interoperabilitet

Nedan ett exempel på hur man kan formulera krav på interoperabilitet, d.v.s. att det går att enkelt överföra information mellan olika it-tjänster, att tjänsterna fungerar tillsammans och kommunicerar sinsemellan utan manuell handpåläggning:

Information och data som importerats, upprättats eller förädlats av beställare ska kunna hanteras och exporteras i enlighet med gällande lagstiftning och dokumenthanteringsplan, samt för vidare bruk i ersättande system.

Export ska göras enligt på marknaden gängse* förekommande standarder och i samråd med beställaren.

Exempel: individuella utvecklingsplaner och omdömen lagras och bevaras på olika sätt hos olika kommuner. Kravställning på export måste stämma överens med befintlig eller planerad dokumenthantering.

*beroende på vad det är som ska kravställas, om t.ex. en standard som SS 12000 är relevant eller inte.

Se även sidan om Interoperabilitet och integrationer för ytterligare tips här!

Avtalsmallar att använda

En kravställning bygger på avtalen, som i sin tur ska avspegla och säkerställa att ni får det ni beställt. Här beskrivs relationen mellan leverantör och beställare, hur den kontinuerliga kontakten ska se ut, processer för utvärdering och utveckling, nivåer av service osv.

– PuB-avtal (personuppgiftsbiträdesavtal). Reglerar och instruerar hanteringen av personuppgifter): SKR har vägledning och en mall att utgå från som branschen står bakom. Om mallen används, men med förändringar, måste det tydligt framgå vilka. Förändringar kan medföra stora konsekvenser för samtliga parter.

– SLA (service level agreement). Reglerar service- och supportnivå. Generellt gäller: ju högre servicenivå, desto högre kostnader och krav både på leverantör och beställares organisation. Tech Sverige har mallar många leverantörer brukar utgå från.

Se även sidan om Avtal för ytterligare tips här!

Läs mer

– Processen för LOU (Upphandlingsmyndigheten) – länk
Funktionskrav i upphandling (Upphandlingsmyndigheten) – länk
Grund för utvärdering (Upphandlingsmyndigheten) – länk

Informationssäkerhet:

– Stöd för systematiskt informationssäkerhetsarbete i organisationer (MSB) – länk
– KLASSA (verktyg från SKR) som genererar upphandlingskrav samt handlingsplan för förvaltning – länk

Dataskyddsförordningen – hantering av personuppgifter

– Integritetsmyndigheten (IMY) – länk
– SKR:s stödmaterial – länk

Avtalsmallar och vägledningar

– Mall PuB-avtal (SKR) – länk
– Avtalsmallar (Tech Sverige) – länk