Servicebeskrivelse for
Servicebeskrivelse for
IndFak
Marts 2020
Indhold
1. Indledning og beskrivelse af løsningen 3
1.1 Forretningsområdet 3
1.2 Kunder og brugere 3
1.3 Funktionalitet 3
2. Ansvarsdeling mellem parterne 4
2.1 Betingelser ved opsigelse 5
3. Fælles dataansvar – overordnet cirkulæreskrivelse 7
3.1 Cirkulæreskrivelse 7
4. Servicemål og ydelsesbeskrivelse 8
4.1 Servicemål 8
4.2 Tilgængelighed 8
4.3 Driftsstatus 8
5. Nøglekontroller og tilhørende rapporter 9
5.1 Beskrivelse af nøglekontroller 9
6. Bruger- og rettighedsstyring 10
6.1 Beskrivelse af primære og sekundære brugere 10
6.2 Brugeradministration 10
6.3 Særlige adgange 10
6.4 Ekstern adgang til udviklingsmiljøet 11
6.5 Leverandørstyring 11
6.6 Vejledninger, rolle/rettighedsbeskrivelser og blanketter 11
7. Forretningsnødplaner 12
7.1 Forretningsnødplaner 12
7.2 Lokale nødplaner 12
7.3 Driftsstatus 12
1. Indledning og beskrivelse af systemet
IndFak er et fællesstatsligt system for statslige og selvejende institutioner, som understøtter indkøbs- og fakturahåndteringsprocesser.
IndFak understøtter samtlige forretningsprocesser for ordreafgivelse og modta- gelse af handelsbilag samt for efterfølgende kontering og godkendelse forud for aflevering af modtagne handelsbilag til Navision Stat.
Kunderne udgøres af samtlige statslige institutioner, der har en forpligtigelse til at anvende systemet, med mindre der er søgt dispensation herfor, jf. regnskabs- bekendtgørelsen §11, stk. 2 . Derudover udgøres kunderne af selvejende statslige institutioner, der er begunstigede ift. anvendelse, og som derfor selv kan afgøre om og hvornår, de ønsker at ibrugtage systemet.
Brugerne består typisk af de medarbejdere hos kunden, der arbejder med enten indkøbsordre, varemodtagelse eller godkendelse til fakturering.
Systemet inkluderer følgende funktionalitet:
• Håndtering af varekataloger og aftaler.
• Afsendelse af ordre og modtagelse af faktura/kreditnotaer med tilhørende ordre/faktura match.
• Kontering og godkendelsesflow.
• Oprettelse af (udenlandske) manuelle fakturaer som supplement til de auto- matisk modtagne og fuldt fortolkede bilag via Nemhandel, for bilag afsendt fra Danmark.
• Modtagelse af fuldt fortolkede bilag via PEPPOL, for bilag afsendt fra EU.
• Integration til Navision Stat.
Systemet omfatter ikke bogføring og betaling. Til dette formål anvendes statens økonomistyringssystem 'Navision Stat'. Se ligeledes servicebeskrivelsen for Navi- sion Stat.
2. Ansvarsdeling mellem parterne
Afsnittet indeholder en beskrivelse af ansvarsfordelingen mellem instituti- onen og Økonomistyrelsen.
Den generelle ansvarsdeling mellem Økonomistyrelsen og statslige og selvejende institutioner, der anvender IndFak, er beskrevet i skemaet nedenfor.
Der er i den generelle ansvarsdeling ikke indarbejdet evt. opgavesplit og aftaler mellem institutioner og Statens Administration eller evt. andre shared-service- centre/administrative fællesskaber.
Tabel 2.1
Skema over ansvarsdeling
IndFak er et standardsystem, der leveres af Miracle som en SaaS-løsning. Ved en SaaS/Software-as-a-Service-løsning forstås her et system, hvor drift og vedlige- hold af både applikationen og teknisk infrastruktur varetages af leverandøren.
Element | Økonomistyrelsen | Kunden |
Produktstrategi | Den overordnede produktstrategi fastlægges af leverandøren af systemet. Økonomistyrelsen har ansvar for at sikre at, systemet understøtter statslige behov. | N/A |
Vedligehold og videreudvikling | Økonomistyrelsen har dialogen med leverandøren, der står for samtlige tilpasninger af systemet. | Kunden har mulighed for at indberette fejl og ønsker. Indrapporteringen sker via en indberetningsblanket som findes på xxx.xx Denne sendes via Statens Admini- stration og Serviceportalen, for en visitering af både fejl og ønsker, forud for afklaring med leverandø- ren. |
Dokumentation | Leverandøren har ansvar for udarbejdelse og vedligeholdelse af dokumentation. Økonomistyrelsen har ansvar for at sikre at leverandøren lever op til sine forpligtelser samt at den leverede dokumentation tilpasses statens behov. | Kunden sikrer, at den virksomhedsspecifikke dokumentation om kundens anvendelse af systemet foreligger og er ajourført, herunder at regnskabsinstruksen holdes opdateret. |
Sikkerhed | Leverandøren har ansvaret for at systemet understøtter den nødvendige sikkerhed i anvendelsen, samt gældende dansk og europæisk lovgivning. | Kunden sikrer, at opsætning og anvendelse af systemet overholder relevant lovgivning og revisionskrav. |
Element | Økonomistyrelsen | Kunden |
Økonomistyrelsen har ansvaret for at sikre at leverandøren lever op til sine forpligtelser. | ||
Applikationssupport | Der ydes level 1 support via Statens Administration, og level 2 support via Økonomistyrelsen. Eventuelt behov for eskalering til leverandøren varetages af Økonomistyrelsen. | |
Uddannelse og kurser | Der udbydes en række e- læringskurser i IndFak, som kan tilgås via Campus. Der afholdes envidere opstartsworkshops ifm. implementering. | |
Drift | Driften varetages af leverandøren som en SaaS-løsning. | N/A |
Brugeradministration | Økonomistyrelsen foretager en kontrol af de privilegerede brugere for leverandøren, Økonomistyrelsen og Statens Administration. | Brugere oprettet som lokale administratorer i systemet kan varetage den samlede brugeradministration og kontrol af samme direkte i systemet. |
Udbud | Økonomistyrelsen gennemfører gen-udbud af systemet iht. gældende EU-udbudsregler. | N/A |
Lokale integrationer | Systemet er ikke åbent for lokale integrationer. | N/A |
Lokale robotter | Opsætning af lokale robotter skal godkendes ved Økonomistyrelsen. | Kunden er forpligtiget til at lade evt. opsætning af lokale robotter godkende ved Økonomistyrelsen. |
GDPR | Leverandøren er iht. den indgåede kontrakt forpligtiget til at sikrer at systemet understøtter GDPR. | Kunden har ansvar for at de data og de behandlingsaktiviteter, som foretages i systemet, tilrettelægges i overensstemmelse med GDPR-reglerne, herunder særligt ansvar for at undgå at der findespersonhenførbare data/ følsomme persondata i fritekstfelter i systemet. |
Licens | Økonomistyrelsen har ansvar for at sikre de fornødne licenser til brug af systemet. | N/A |
Tabel 2.1
Skema over ansvarsdeling
Anvendelse af IndFak kan, med mindre at kunden er forpligtiget til at anvende løsningen, opsiges med 6 måneders varsel til et kvartal ophører. I forbindelse med opsigelsen, vil adgangen til løsningen blive de-aktiveret.
Der kan etableres en se-adgang til arkiverne via tildeling af en særlig ’IndFak ud- trædelsesrolle’. Udtrædelsesadgangen kan benyttes uden beregning, så længe løs- ningen drives ved Økonomistyrelsen under gældende IndFak2 kontrakt.
Udtrædelsesrollen giver kunden adgang til arkiverne, og dermed ligeledes mulig- hed for at sikre gyldigt regnskabsmateriale i løsningens levetid. Institutionen, som udtræder af løsningen, er selv ansvarlig for at sikre gyldigt regnskabsmateri- ale.
Bemærk at en udtrædelse ligeledes vil aflede en om-registrering på Nemhandels- registret, ved Økonomistyrelsen, for de kunder, der hostes hos enten KMD eller SIT.
Når Økonomistyrelsens kontrakt med leverandøren udløber, ophører den ud- trådte kundes adgang til alle data for både IndFak2 og IndFak1.
3. Fælles dataansvar – overordnet cirkulæreskrivelse
Der foreligger fælles dataansvar, når to eller flere dataansvarlige i fælles- skab fastlægger formålene med og hjælpemidlerne til behandling af person- data. Dette er i henhold til cirkulæreskrivelse om de fællesoffentlige syste- mer tilfældet for de fællesoffentlige systemer på økonomi-, betalings-, HR- og lønområdet, som Økonomistyrelsen leverer som følge af regnskabsbe- kendtgørelsen.
Økonomistyrelsen har i samarbejde med Datatilsynet udarbejdet en cirkulære- skrivelse (CIS nr. 9223 af 23. marts 2018), der gælder generelt for de statslige og selvejende kunder, der anvender de systemer som Økonomistyrelsen stiller til rå- dighed jf. regnskabsbekendtgørelsens §11, stk. 2.
Cirkulæreskrivelsen sikrer en dokumenteret og klar ansvarsdeling mellem Øko- nomistyrelsen og institutionerne efter databeskyttelsesforordningens artikel 26 om fælles dataansvar. Institutionerne er helt overordnet ansvarlig for de data, som de selv placerer i systemerne, og for de processer, der ligger lokalt hos insti- tutionen.
Cirkulæreskrivelsen betyder bl.a., at der ikke skal udarbejdes databehandleraftale mellem den enkelte institution og Økonomistyrelsen, samt at Økonomistyrelsen er ansvarlig for sikkerheden i de omfattede systemer.
Læs mere om fælles dataansvar og hent cirkulæreskrivelsen på xxx.xx
4. Servicemål og ydelsesbeskrivelse
Afsnittet indeholder servicemål og ydelsesbeskrivelser for IndFak.
For IndFak-applikationen er der udvalgt et antal processer, hvor der er defineret specifikke mål for, hvor hurtigt disse skal kunne afvikles. Leverandøren måles og afrapporterer på disse hver måned ifm. status på sidste måneds drift til Økono- mistyrelsen. I tilfælde af at disse ikke overholdes, følger Økonomistyrelsen op over for leverandøren mhp. at sikre, at performance forbedres og servicemål ind- fries.
Systemet skal være 100 % tilgængelig 24/7, på nær ved aftalte driftsvinduer, hvor der fx sikkerhedspatches om natten.
I tilfælde af lukning/utilgængelighed inden for normal arbejdstid, eksempelvis ved optimering med ny funktionalitet eller indlæsning af sikkerhedspatches i lø- bet af dagen, vil der blive givet særskilt besked herom på Økonomistyrelsens hjemmeside.
Se også driftsstatus på xxx.xx, der drives i et samarbejde mellem Statens Admini- stration og Økonomistyrelsen.
1 Der opereres med følgende klassificering. Blocker: Blokerende for afvikling af kritisk daglig forretnings- funktionalitet uden work around; Critical: Blokerende for afvikling af kritisk daglig forretningsproces uden work around, Major: Generende for afvikling af kritisk forretningsproces – uden work around, Minor: Uhensigtsmæssig /ukritisk med mulig work around, Trival: Forstyrrende i mindre grad. Work around er ir- relevant
5. Nøglekontroller og tilhørende rapporter
Afsnittet beskriver IndFaks nøglekontroller og tilhørende rapporter. Nøg- lekontroller defineres som de vigtigste kontroller til sikring af sikker og sta- bil drift, samt at der ikke foregår noget uønsket eller ulovligt.
5.1 Beskrivelse af nøglekontroller
Tabel 5.1
Oplistning af nøglekontroller
Nøglekontroller i forhold til IndFak skal forstås som de vigtigste kontroller, der knytter sig til integration med Navision Stat, herunder tværgående sporbarhed for aflæggelse af et retvisende regnskab og en sikker styring af udbetalinger.
Nøglekontrol | Beskrivelse |
1 | Det er muligt at følge transaktionssporet på tværs af IndFak og Navision Stat. |
2 | Det er muligt at se i IndFak, hvorvidt et bilag overført til Navision Stat er korrekt modta- get af Navision Stat, og i hvilket omfang der for en faktura er sket en udbetaling. |
3 | Det er ikke muligt at overføre det samme bilag fra IndFak til Navision Stat (samme leve- randør og samme fakturanummer) mere end 1 gang. |
4 | Det er muligt at opsætte i IndFak at varemodtagelse (rekvirent) og godkendelse (dispo- nent) skal ske ved 2 forskellige fysiske brugere (4-øjnekonceptet). |
5 | Betalingsoplysningerne tages altid fra originalbilaget (eller det oprettede manuelle bilag) og kan dermed ikke ændres efterfølgende og forud for afsendelse til Navision Stat. |
6. Bruger- og rettighedsstyring
Formålet med administration af brugeradgang er at sikre adgang for autori- serede brugere og forhindre uautoriseret adgang til systemer.
6.1 Beskrivelse af primære og sekundære brugere
De primære brugere udgøres af de brugere, der har et dagligt behov for at op- rette stående ordrer, foretage varemodtagelse (som rekvirenter) eller godkende (som disponenter) for overførelse af transaktion til udbetaling via Navision Stat.
Det giver ikke mening at tale om sekundære brugere i IndFak.2
Brugeradministration i den enkelte institution varetages af den lokale administra- tor direkte i administrationsmodulet.
Brugeradministrationsfunktionaliteten i IndFak er beskrevet yderligere på xxx.xx
Som kunde har man selv ansvar for at følge op på egne privilegerede brugere kvartalsvist og for alle øvrige brugere halvårligt, mens det påhviler Økonomisty- relsen at kontrollere brugere med rollen Global systemadministrator.
IndFak opererer konceptuelt med privilegerede rettigheder. Brugere med privile- gerede rettigheder er defineret som brugere med rollerne Global Systemadministra- tor, Lokal systemadministrator eller rollen Disponent kombineret med en opsat pro- kura. Ved Global og Lokal Systemadministrator forstås administration af bruger- modulet og opsætning af kontering mv.
Globale Systemadministratorer tildeles på øverste niveau og giver adgang til alle un- derliggende organisationer. Brugere med denne rolle kan oprette/slette (eller de- aktivere) samt tildele roller til alle brugere i systemet. Rollen tildeles en snæver gruppe af i Økonomistyrelsen med et helt særligt arbejdsbetinget behov der føl- ger af deres rolle som systemforvalter o.lign.
Lokale Systemadministratorer tildeles på lokalt niveau, typisk på koncernniveau som fx et ministerområde og giver adgang til de underliggende organisationer. Lokale
2 Givet at sekundære brugere er brugere, der i modsætning til primære brugere, er brugere med begrænset behov for adgang til systemet.
systemadministratorer kan oprette/slette (eller de-aktivere) samt tildele roller til brugere, der er oprettet på samme institutions-/koncernniveau eller underlig- gende. Rollen tildeles en medarbejder med ansvar for brugeradministration hos kunden.
Globale- og lokale systemadministratorer kan ene og alene oprette/slette brugere samt tildele/fjerne roller. Disse to roller giver ikke adgang til nogen form for be- handling af bilag og kan derfor ikke indgå i godkendelsesflowet.
Disponenter kan med tilstrækkelig prokura godkende bilag, der i forvejen er vare- modtaget af anden person.
Brugeradministration, der knytter sig til revision, support hos enten Økonomi- styrelsen eller Statens Administration samt eksterne konsulenter godkendte af Økonomistyrelsen, administreres hos Økonomistyrelsen i regi af systemejer.
6.4 Ekstern adgang til udviklingsmiljøet
Der er ikke åbnet for ekstern adgang til systemet. Det er således ikke muligt for andre leverandører end kontraktens leverandør, med underleverandører, at tilgå udviklingsmiljøet.
Økonomistyrelsen forestår den samlede leverandørstyring, hvad enten det drejer sig om Contract Management, Service Management eller Change management.
6.6 Vejledninger, rolle/rettighedsbeskrivelser og blanketter
Alle vejledninger vedrørende systemet kan hentes på Økonomistyrelsens hjem- meside.
Gå til brugervejledninger til IndFak på xxx.xx
Afsnittet beskriver forretningsnødplaner for de mest kritiske opgaver i IndFak. Forretningsnødplanerne kan følges, hvis det ikke er muligt at ar- bejde normalt i systemerne, fordi de er utilgængelige i længere tid.
Manglende mulighed for placering af indkøbsordre
Såfremt systemet over længere tid blokerer for afgivelse af ordre, kan man over- veje at afgive ordren via leverandørens egen hjemmeside eller via mail med angi- velse af de referencer, som leverandøren behøver for at kunne bekræfte ordren så præcist som muligt.
Xxxxxxxxx mulighed for modtagelse af dansk faktura /afvikling af udbetaling Hvis systemet over længere tid blokerer for modtagelse af bilag, og der dermed ligeledes blokeres for overførelse til Navision Stat med efterfølgende udbetaling af bilag, vil Økonomistyrelsen overveje en generel re-routning af bilagsudvekslin- gen, således at leverandørens bilag sendes direkte til Navision Stat for modta- gelse og manuel godkendelse forud for udbetaling.
Det er op til kunden at afgøre, hvor længe man kan vente med at iværksætte egne nødplaner. Kunden skal afveje, om omkostningen ved at iværksætte nødplanen – som vil kræve manuel håndtering – mod generne ved at afvente, at systemet igen er i normal drift.
Det er op til kunden at fastlægge de konkrete arbejdsgange og ansvarsfordelingen internt i institutionen i det omfang, hvor kunden kan gennemføre manuelle ar- bejdsgange.
Kunden bør i alle tilfælde følge med i den driftsstatus, som Økonomistyrelsen lø- bende opdaterer, og hvoraf det fremgår, hvilke tiltag Økonomistyrelsen har igangsat og den forventede tidshorisont herfor.
Statens Administration og Økonomistyrelsen sørger for en løbende driftsinfor- mation. Denne opdateres dagligt, i tilfælde af fejl, der er kritiske for normal drift.
xxx.xx