Opetusvirasto ja tietkonekavallus - miten estää moinen?
Helsingin kaupungin opetusviraston tietohallintopäällikkö onnistui vuosikausia - tai vuosikymmenen - tilaamaan tietokoneita ja muuta teknisiä laitteita, hyväksymään tilauksensa, ottamaan ne vastaan ja diilaamaan tietokoneet eteenpäin. Ovela ja epärehellinen kaveri, joka jäi kiinni vasta kun hänen tilalleen vastaavaan hommaan valittiin rehellisempi ja kun viraston johto vaihtui.
Miten tämmöinen rosvous saattoi onnistua? Miksi kukaan ei huomannut? Kenen olisi pitänyt huomata?
Opetusviraston uusimpien selvitysten mukaan kyse ei ollut vaarallisista rooliyhdistelmistä. Virastossa olivat käytössä normaalit menettelyt, jotka estävät yhtä henkilöä tilaamasta ja hyväksymästä tilauksiaan etc. Hyvä niin, sillä vaaralliset rooliyhdistelmät ovat todellakin vaarallisia. Tunnen yhden organisaation, jossa epärehellinen voisi hyvinkin tilata kaveriltaan palveluita ja maksaa ne kaverilleen vaikke tämä mitään olisikaan toimittanut - eikä kukaan koskaan pystyisi sitä huomaamaan. Olen tästä kyllä organisaation pomoille kertonut ja ehkäpä he ovat asian korjanneet. Toivon niin.
Opetusvirastossa kaiken piti olla hyvin, mutta silti rosvo veti välistä. Syynä oli kuulemma tilausjärjestelmän automaatio. Tilausjärjestelmäthän yleensä toteutetaan niin, että pieniä tilauksia ei kenenkään tarvitse hyväksyä. Jos tilaus ja toimitus täsmäävät eli niillä on sama tunnus ja hinta, järjestelmä hyväksyy tilauksen toimituksen automaattisesti. Tämä on pienten tilausten osalta järkevää ja säästää vaivaa ja rahaa. Näin se on tapana toteuttaa.
Tietotekniikkapäällikkö oli siis tilannut tietokoneita, jotka toimittaja oli toimittanut juuri tilauksen mukaisesti. Järjestelmä oli hyväksynyt, tietohallintopäällikkö ottanut tilauksen vastaan ja myynyt eteenpäin.
Miten tämmöisen voisi estää? Opetusvirasto on päättänyt, että se jatkossa inventoi kouluissa olevat tietokoneet 3 kuukauden välein. Jos tilatut ja kouluissa olevat eivät ole samat, joku on rosmonnut tai munannut muutoin.
Mitäs jos seuraava rosmo tilaakin palveluita eikä tavaroita? Miten kolmen kuukauden välein tapahtuva inventaario estää sen - tai auttaa huomaamaan sen? Kysytäänkö jatkossa kouluilta 3 kuukauden välein, josko siellä on konsultteja ja muita palveluita toimittavia näkynyt?
Ei, inventaario ei ole tähän ongelmaan oikea ratkaisu. Oikea ratkaisu on pikemminkin valvonnan satunnainen lisääminen. Tilausjärjestelmiin voisi helposti lisätä ominaisuuden, joka huomauttaa tilaajan esimiestä, jos tilaaja ryhtyy yhtäkkiä tilaamaan paljon. Järjestelmä voisi huomauttaa esimiestä aina, kun alainen on tilannut 3 kertaa oman hyväksymisrajansa verran. Jos esimies on epärehellinen, tämä ei auta. Toivokaamme, että virastoissa ei ole epärehellisiä toisiaan valvomassa.
Toinen - useankin epärehellisen pomon hierarkian kestävä - vaihtoehto on julkaista kaikkien tilaajien kunkin vuoden tilausten kumulatiivinen arvo avoimesti netissä. Se auttaisi huomaamaan poikkeavan paljon tilaavat. Suurin osa heistä on varmastikin rehellisiä ja tarpeeseen tavaraa ja palveluita tilanneita, mutta jos joukossa on rosvo, avoimuus paljastaa. Kollegat ja kansalaiset kyllä huomaavat!
Yleisesti: jos prosessissa on ilmeinen väärinkäytöksen mahdollisuus, jota ei voi poistaa (kuten tässä tapauksessa), niin avoimuuden ja satunnaisen tarkastamisen lisääminen estävät rosvoja toimimasta. Jälkikäteinen inventointi sen sijaan luo turhaa työtä ja pahaa mieltä ihmisissä, joilla ei pitäisi olla asian kanssa mitään tekemistä.
Vastuu opetusvirastojen tilausten ja rahankäytön hallinnasta on viraston johdolla, ei koulujen opettajilla.
Miten tämmöinen rosvous saattoi onnistua? Miksi kukaan ei huomannut? Kenen olisi pitänyt huomata?
Opetusviraston uusimpien selvitysten mukaan kyse ei ollut vaarallisista rooliyhdistelmistä. Virastossa olivat käytössä normaalit menettelyt, jotka estävät yhtä henkilöä tilaamasta ja hyväksymästä tilauksiaan etc. Hyvä niin, sillä vaaralliset rooliyhdistelmät ovat todellakin vaarallisia. Tunnen yhden organisaation, jossa epärehellinen voisi hyvinkin tilata kaveriltaan palveluita ja maksaa ne kaverilleen vaikke tämä mitään olisikaan toimittanut - eikä kukaan koskaan pystyisi sitä huomaamaan. Olen tästä kyllä organisaation pomoille kertonut ja ehkäpä he ovat asian korjanneet. Toivon niin.
Opetusvirastossa kaiken piti olla hyvin, mutta silti rosvo veti välistä. Syynä oli kuulemma tilausjärjestelmän automaatio. Tilausjärjestelmäthän yleensä toteutetaan niin, että pieniä tilauksia ei kenenkään tarvitse hyväksyä. Jos tilaus ja toimitus täsmäävät eli niillä on sama tunnus ja hinta, järjestelmä hyväksyy tilauksen toimituksen automaattisesti. Tämä on pienten tilausten osalta järkevää ja säästää vaivaa ja rahaa. Näin se on tapana toteuttaa.
Tietotekniikkapäällikkö oli siis tilannut tietokoneita, jotka toimittaja oli toimittanut juuri tilauksen mukaisesti. Järjestelmä oli hyväksynyt, tietohallintopäällikkö ottanut tilauksen vastaan ja myynyt eteenpäin.
Miten tämmöisen voisi estää? Opetusvirasto on päättänyt, että se jatkossa inventoi kouluissa olevat tietokoneet 3 kuukauden välein. Jos tilatut ja kouluissa olevat eivät ole samat, joku on rosmonnut tai munannut muutoin.
Mitäs jos seuraava rosmo tilaakin palveluita eikä tavaroita? Miten kolmen kuukauden välein tapahtuva inventaario estää sen - tai auttaa huomaamaan sen? Kysytäänkö jatkossa kouluilta 3 kuukauden välein, josko siellä on konsultteja ja muita palveluita toimittavia näkynyt?
Ei, inventaario ei ole tähän ongelmaan oikea ratkaisu. Oikea ratkaisu on pikemminkin valvonnan satunnainen lisääminen. Tilausjärjestelmiin voisi helposti lisätä ominaisuuden, joka huomauttaa tilaajan esimiestä, jos tilaaja ryhtyy yhtäkkiä tilaamaan paljon. Järjestelmä voisi huomauttaa esimiestä aina, kun alainen on tilannut 3 kertaa oman hyväksymisrajansa verran. Jos esimies on epärehellinen, tämä ei auta. Toivokaamme, että virastoissa ei ole epärehellisiä toisiaan valvomassa.
Toinen - useankin epärehellisen pomon hierarkian kestävä - vaihtoehto on julkaista kaikkien tilaajien kunkin vuoden tilausten kumulatiivinen arvo avoimesti netissä. Se auttaisi huomaamaan poikkeavan paljon tilaavat. Suurin osa heistä on varmastikin rehellisiä ja tarpeeseen tavaraa ja palveluita tilanneita, mutta jos joukossa on rosvo, avoimuus paljastaa. Kollegat ja kansalaiset kyllä huomaavat!
Yleisesti: jos prosessissa on ilmeinen väärinkäytöksen mahdollisuus, jota ei voi poistaa (kuten tässä tapauksessa), niin avoimuuden ja satunnaisen tarkastamisen lisääminen estävät rosvoja toimimasta. Jälkikäteinen inventointi sen sijaan luo turhaa työtä ja pahaa mieltä ihmisissä, joilla ei pitäisi olla asian kanssa mitään tekemistä.
Vastuu opetusvirastojen tilausten ja rahankäytön hallinnasta on viraston johdolla, ei koulujen opettajilla.
Kommentit
Eli rosvoja on vähintään 2.
Kaikkea ei ole vielä kerrottu.