Przetarg na audyt KSeF

Zapisy w przetargu na audyt niepoprawnie działającego system KSeF pokazują dwa problemy – ktoś nie wie czego wymaga i wymaga tak wiele, że wyklucza najbardziej kompetentnych specjalistów.

Czym jest Krajowy System e-Faktur i dlaczego z powodu krytycznych defektów jego start został opóźniony opisaliśmy w tym artykule. Również tam podaliśmy, że odbędzie się jego audyt. Teraz, niespełna parę dni później audyt został ogłoszony. Jego zapisy naprawdę wprawiają w osłupienie.

Całą specyfikację przetargu pt. Audyt biznesowo-technologiczny KSeF znajdziecie pod tym linkiem.

Przyglądamy się przykładowym zapisom przetargowym oraz tłumaczymy problemy.

Czas

Przetarg został skonstruowany szybko i daje mało czasu na przygotowanie oferty. Opublikowano go 19.01, dokładnie tego samego dnia, kiedy podjęto decyzję o przesunięciu terminu jego wdrożenia, a na 30.01 już zapowiedziano otwarcie kopert (ostatecznie jednak datę przesunięto na 6.02). Bez dwóch zdań przetarg został sklecony na kolanie, a jego zapisy nie dają podstawy do wykonania wartościowej usługi audytu.

Łączenie tematów

Częstym problemem przetargów w Polsce jest to, że łączy się wiele tematów w jeden przetarg co powoduje, że tylko duzi integratorzy są w stanie do nich przystępować. „Duzi integratorzy” zazwyczaj nie mają kompetencji, by realizować poszczególne komponenty systemu, więc zlecają je podwykonawcom. Taki model wymuszonego pośrednictwa jest nagminny i wycina małych i średnich polskich przedsiębiorców z przetargów. Co więcej, integratorzy często przerzucają dużą część ryzyka projektowego na swoich podwykonawców co często skutkuje nieopłacalnością, a dla niektórych bankructwem. W tym projekcie łączy się tematy bliskie, ale jednak wykonywane przez osoby o różnych kompetencjach:

Etap 1. Audyt dokumentacji projektowej; zakres: „Wykonawca wykona Audyt dokumentacji projektowej obejmujący analizę dokumentacji pod kątem analizy funkcjonalnej, architektury oraz analizy postępu prac w projekcie, w tym w odniesieniu do zatwierdzonego harmonogramu. Audyt obejmie przegląd dokumentacji projektowej, organizacji zarządzania projektem, sprawozdań i raportów z realizacji oraz dotychczas wytworzonej dokumentacji technicznej Systemu od momentu rozpoczęcia projektu do momentu rozpoczęcia audytu tj. podpisania Umowy z Wykonawcą”
Etap 2. Audyt jakości kodu źródłowego i wydajności rozwiązania; zakres: „weryfikacji jakości analizowanego kodu, jego skalowalności, optymalizacji, łatwości utrzymania, poprawności i stabilności działania celu wykrycia złożonych problemów pozostających w ukryciu w tym odnoszących się do bezpieczeństwa i zastosowanych mechanizmów kontroli uprawnień, których wystąpienie może mieć negatywne skutki dla samego Systemu oraz danych w nim zawartych. ORAZ weryfikacji wydajności, obejmującej następujące obszary: architekturę Systemu, infrastrukturę teleinformatyczną, na której działa System, kod źródłowy aplikacji, interfejs API Systemu, bazy danych, identyfikację błędów konfiguracji i błędów programowych”

Pierwsza część to raczej działka kompetentnego audytora z doświadczeniem w zarządzaniu projektami, a druga to obszar programistów i testerów wydajności.

Czy można to zrealizować osobno? Nie. Zapis z ogłoszenia mówi „Zamawiający udziela zamówienia w częściach, z których każda stanowi przedmiot odrębnego postępowania: Nie”.

Co więcej ma to absurdalne uzasadnienie: „Zakres przedmiotu zamówienia uzasadnia realizację niniejszego zamówienia jako jedną niepodzielną część. Celem umożliwienia składania ofert częściowych jest szersze otwarcie rynku zamówień publicznych na małe i średnie przedsiębiorstwa. Mając na uwadze przedmiot zamówienia, zamówienie jest w pełni dostępne dla małych i średnich przedsiębiorstw bez jakichkolwiek dodatkowych działań, w tym umożliwienia składania ofert częściowych. Ponadto zakres usług jest ze sobą powiązany i należy go wykonać przez jednego Wykonawcę”.

Prawda jest taka, że wbrew temu zapisowi, łączenie tematów jest napisaniem przetargu pod dużych integratorów. Te firmy funkcjonują jak pośrednik, który zatrudni małe firmy z kompetencjami jako podwykonawców. Integratorzy potrafią wykazać się dowolnymi referencjami, które zdobyli dzięki pracy innych. I to oni na końcu najwięcej zarobią w tym całym przedsięwzięciu.

Wymagane doświadczenie

„SPECYFIKACJA WARUNKÓW ZAMÓWIENIA” dostarcza informacje o tym, jakie kompetencje są wymagane przez Zamawiającego, aby zrealizować ten projekt. Pierwszy zapis nie jest kontrowersyjny i ma pokazać doświadczenie w audytach przez wykazanie się: „wykonaniem, a w przypadku świadczeń okresowych lub ciągłych wykonywaniem, nie wcześniej niż w okresie ostatnich 3 lat przed upływem terminu składania ofert (a jeżeli okres prowadzenia działalności jest krótszy – w tym okresie), należycie co najmniej 3 różnych nw. audytów realizowanych na rzecz innych niż Wykonawca”. Kolejne są już jednak skrajnie wykluczające:

Wykonanie „co najmniej 1 audytu kodu źródłowego systemu informatycznego o wartości nie mniejszej niż 10 000 000,00 zł brutto;”
Wykonanie „co najmniej 1 audytu wydajności systemu informatycznego o wartości nie mniejszej niż 10 000 000,00 zł brutto;”
Wykonanie „co najmniej 1 audytu dokumentacji projektowej systemu informatycznego o wartości nie mniejszej niż 10 000 000,00 zł brutto”

Zapisy o 10 milionach złotych są najbardziej kontrowersyjne, i to z wielu powodów.

Zamawiający określa, że audyt może zrealizować jedynie firma, która audytowała projekt za 10 000 000 złotych. Po pierwsze, takich audytów praktycznie się w Polsce nie zleca, a już niezmiernie rzadko dla projektu o wartości 10 milionów. Zawęża to grupę Wykonawców do 2 może 3 na rynku i będą to tylko największe, międzynarodowe firmy doradcze. Co więcej, skąd się wzięła wartość 10 milionów? Jeśli jest to wartość wytworzenia kodu KSeF, to można powiedzieć, że ktoś bardzo przepłacił za niedziałający i nienadający się na produkcję kod źródłowy. Idąc dalej musimy wziąć pod uwagę, że analiza kodu zawsze wygląda tak samo i nie ma znaczenia czy kosztował on tysiące, czy miliony złotych.

Co więcej, w procesie wyboru Wykonawcy najwięcej punktów dostają firmy, które audytowały największe projekty, przykład: „20 punktów za wykazanie się doświadczeniem tego Audytora w wykonaniu audytu polegającego na przeprowadzeniu testów wydajnościowych systemu informatycznego, o wartości nie mniejszej niż 40 000 000,00 zł brutto”.

Wymagane kompetencje

Zamawiający wymaga Audytorów z doświadczeniem. Zapisy nie są kontrowersyjne, osoba „posiadająca wykształcenie: wyższe informatyczne lub techniczne lub studia podyplomowe w zakresie audytu systemów informatycznych” ORAZ „Posiadająca doświadczenie - w okresie ostatnich 3 lat przed upływem terminu składania ofert przeprowadziła co najmniej dwa audyty” i oczywiście projekty te muszą mieć wartość 10 milionów. Dużo bardziej ciekawe jest to, czego tu nie ma. Absurdem jest, że „SPECYFIKACJA WARUNKÓW ZAMÓWIENIA” nie ma informacji o tym, jakie technologie i jakie języki zostały użyte do wytworzenia KSeF. Jak można więc złożyć ofertę bez podstawowej wiedzy? Jest to parametr nieważny dla Integratorów, którzy znajdą sobie podwykonawców z dowolnej technologii, ale jest ważne dla specjalistów, którzy zorientowani są na konkretne języki programowania. Eksperckie firmy audytują konkretne technologie i niestety widać, że tworzący specyfikację o tym nie wiedzą. Dopiero dokument: „Wykaz technologii wykorzystywanych w Systemie KSeF” niesie pewne informacje o użytych technologiach, ale trzeba podkreślić, że znajomość żadnej z nich nie jest wymagana od Wykonawcy czy Audytora.

Ministerstwo Finansów zapisami przetargowymi definiuje, kto jest dla niego preferowanym partnerem. Możemy określić, że jest to duża międzynarodowa korporacja doradcza, która nie ma kompetencji do zrealizowania takiego projektu, ale ma zdolności zarządcze i prawnicze do poprowadzenia takiego projektu.

Kto nie jest partnerem? Małe i średnie polskie firmy zajmujące się audytem projektów, kodu i testami wydajności.

Na końcu projekt zrealizują polscy specjaliści zebrani pod skrzydłami integratora.

Dodatkowym smaczkiem jest to, że to My - polskie firmy - będziemy zmuszeni korzystać z systemu, do którego stworzenia i sprawdzenia MF woli zatrudnić międzynarodowe korporacje.

Za cały projekt Ministerstwo przepłaci pieniędzmi z naszych podatków, płacąc pośrednikowi za to, co mogłoby zrobić samodzielnie przez obniżenie zbędnych wymagań i dzieląc przetarg na trzy obszary:

audyt dokumentacji
audyt kodu
testy wydajności.

Wraz ze zmianą władzy oczekiwaliśmy zmiany mentalności w podejściu do polskich firm i ich udziału w przetargach. Ten audyt pokazuje, że może i władza się zmieniła, ale mentalność pozostała.

Nazwa	Opis
PHPSESSID	Ciasteczko pozwalające na zapamiętywanie danych dotyczących stanu sesji.
_GRECAPTCHA	Ciasteczko pomagające zabezpieczyć formularze na stronie.
cookie_law_confirmed	Ciasteczko służące do wyświetlania tego okienka.
cookie_law_google_analytics	Ciasteczko zapamiętujące stan zgody użytkownika dotyczącej Google Analytics.
cookie_law_disqus	Ciasteczko zapamiętujące stan zgody użytkownika dotyczącej Disqus.
cookie_law_share_this	Ciasteczko zapamiętujące stan zgody użytkownika dotyczącej ShareThis.
article_visited	Ciasteczko pomagające ustalić, które artykuły są najbardziej popularne.
service_visited	Ciasteczko pomagające ustalić, które usługi są najbardziej popularne.
event_visited	Ciasteczko pomagające ustalić, które wydarzenia są najbardziej popularne.
training_visited	Ciasteczko pomagające ustalić, które szkolenia są najbardziej popularne.
external_training_visited	Ciasteczko pomagające ustalić, które zewnętrzne szkolenia są najbardziej popularne.

Nazwy	Opis
_utma	Unikalny użytkownik. Ciasteczko to zawiera unikalny numer identyfikacyjny, dzięki któremu narzędzie potrafi określić unikalnego i nowego użytkownika. Żywotność tego ciasteczka wynosi 2 lata i zapisywane jest w przeglądarce.
_utmb	Śledzenie odwiedzin. Ciasteczko przechowuje informację na temat danej odwiedziny.
_utmc	Śledzenie odwiedzin. Jego zadaniem jest ustalenie czy rozpocząć śledzenie nowej odwiedziny, czy też zbierane dane powinny zostać zaliczone do starej. Ciasteczko wygasa po zamknięciu przeglądarki.
_utmz	Źródła odwiedzin. Ciasteczko zawiera informację na temat źródeł odwiedzin. Dzięki niemu możliwe jest policzenie odwiedzin z wyszukiwarek oraz danych z kampanii marketingowych. Jego żywotność wynosi 6 miesięcy.
_utmv	Zmienne niestandardowe. Ciasteczko pojawia się tylko wtedy kiedy na witrynie zastosujemy śledzenie niestandardowych zmiennych. Jego żywotność to 2 lata.