Servicebeskrivelse for
RejsUd
Marts 2020
Indhold
1. Indledning og beskrivelse af løsningen 3
1.1 Forretningsområdet 3
1.2 Kunder og brugere 3
1.3 Funktionalitet 3
2. Ansvarsdeling mellem parterne 4
2.1 Betingelser ved opsigelse 5
3. Fælles dataansvar – overordnet cirkulæreskrivelse 7
3.1 Cirkulæreskrivelse 7
4. Servicemål og ydelsesbeskrivelse 8
4.1 Servicemål 8
4.2 Tilgængelighed 8
4.3 Driftsstatus 8
5. Nøglekontroller og tilhørende rapporter 9
5.1 Beskrivelse af nøglekontroller 9
6. Bruger- og rettighedsstyring 10
6.1 Beskrivelse af primære og sekundære brugere 10
6.2 Brugeradministration 10
6.3 Særlige adgange 10
6.4 Eksterne adgange 11
6.5 Leverandørstyring 11
6.6 Vejledninger, roller/rettighedsbeskrivelser og blanketter 11
7. Forretningsnødplaner 12
7.1 Forretningsnødplaner 12
7.2 Lokale nødplaner 12
7.3 Driftstatus 12
1. Indledning og beskrivelse af løsningen
RejsUd er et fællesstatsligt system for statslige og selvejende institutioner, som understøtter rejseafregnings- og udlægsprocesser.
RejsUd understøtter forretningsprocesser for oprettelse, kontering og godken- delse af rejseafregninger og rejsebestillinger, herunder oversendelse af udlæg for rejsekreditorer til bogføring og udbetaling i Navision Stat.
Kunderne udgøres af samtlige statslige institutioner, der har en forpligtigelse til at anvende systemet, med mindre der er søgt dispensation herfor. Derudover ud- gøres kunderne af selvejende statsslige institutioner, der er begunstigede ift. an- vendelse, og som derfor selv kan afgøre om og hvornår, de ønsker at ibrugtage systemet.
Brugerne består typisk af kundens medarbejdere, der skal foretage rejse-, kørsels- eller udlægsafregninger på egne vegne, eller som er bemyndiget til at gøre det på andres vegne.
Systemet inkluderer følgende funktionalitet:
Håndtering af udlæg og forskud til medarbejdere, samt bestilling og afregninger af rejser for: Hoteller, transport og diæter for medarbejdere. Systemet integrerer endvidere med følgende instanser:
• SKAT for indberetning af skattepligtige ydelser
• Leverandør af taxa-ydelser til staten (nuværende leverandør: DanTaxi) for udveksling af taxakort
• Leverandør af rejsebureau-ydelser til staten (nuværende leverandør: Carlson Wagonlit (CWT)) for udveksling af rejseplaner
• Leverandør af kreditkort-ydelser til staten (nuværende leverandør: SEB) for udveksling af kreditorkorttransaktioner
• Navision Stat for udveksling af stamdata og rejseafregninger.
Systemet omfatter ikke bogføring og betaling. Til dette formål anvendes statens økonomistyringssystem Navision Stat. Se ligeledes servicebeskrivelsen for Navi- sion Stat.
2. Ansvarsdeling mellem parterne
Afsnittet indeholder en beskrivelse af ansvarsfordelingen mellem instituti- onen og Økonomistyrelsen.
Den generelle ansvarsdeling mellem Økonomistyrelsen og statslige og selvejende institutioner, der anvender RejsUd, er beskrevet i skemaet nedenfor.
Der er i den generelle ansvarsdeling ikke indarbejdet evt. opgavesplit og aftaler mellem institutioner og Statens Administration el evt. andre shared-service-cen- tre/administrative fællesskaber.
Tabel 2.1
Skema over ansvarsdeling
RejsUd er et standardsystem, der leveres af Miracle som hovedleverandør og Tri- com og Ibistic som underleverandører. Standardsystemet leveres som en SaaS- løsning. Ved en SaaS/Software-as-a-Service-løsning forstås her et system, hvor drift og vedligehold af både applikationen og teknisk infrastruktur varetages af leverandøren.
Element | Økonomistyrelsen | Kunden |
Produktstrategi | Den overordnede produkstrategi fastlægges af leverandøren af systemet. Økonomistyrelsen har ansvar for at sikre at systemet understøtter statslige behov. | N/A |
Vedligehold og videreudvikling | Økonomistyrelsen har dialogen med leverandøren, der står for samtlige tilpasninger af systemet. | Kunden har mulighed for at indberette fejl og ønsker. Indrapporteringen sker via en indberetningsblanket som findes på xxx.xx Denne sendes via Statens Administration og TopDesk til Økonomistyrelsen, for en visitering af både fejl og ønsker, forud for afklaring med leverandøren. |
Dokumentation | Leverandøren har ansvar for udarbejdelse og vedligeholdelse af dokumentation. Økonomistyrelsen har ansvar for at sikre at leverandøren lever op til sine forpligtelser samt at den leverede dokumentation tilpasses statens behov. | Kunden sikrer, at den virksomhedsspecifikke dokumentation om kundens anvendelse af systemet foreligger og er ajourført, herunder at regnskabsinstruksen holdes opdateret. |
Element | Økonomistyrelsen | Kunden |
Sikkerhed | Leverandøren har ansvar for at systemet understøtter den nødvendige sikkerhed i anvendelsen, samt gældende dansk og europæisk lovgivning. Økonomistyrelsen har ansvar for at sikre at leverandøren lever op til sine forpligtelser. | Kunden sikrer, at opsætning og anvendelse af systemet overholder relevant lovgivning og revisionskrav. |
Applikationssupport | Der ydes level 1 support via Statens Administration, og level 2 support via Økonomistyrelsen. Eventuelt behov for eskalering til leverandøren varetages af Økonomistyrelsen. | Gå til serviceportalen på statens- xxx.xx |
Uddannelse og kurser | Der udbydes en række e- læringskurser i RejsUd, som kan tilgås via Campus. Der afholdes endvidere opstartsworkshops ifm. implementering. | |
Drift | Driften varetages af leverandøren som en SaaS-løsning. | N/A |
Brugeradministration | Økonomistyrelsen opretter, administrerer og fører kontrol med alle privilegerede brugere, dvs. alle brugere for SAM og ØS med udvidede rettigheder i systemet. | Kunden opretter, administrerer og fører kontrol med egne brugere direkte i systemet. |
Udbud | Økonomistyrelsen gennemfører genudbud af systemet iht. gældende EU-udbudsregler. | N/A |
Lokale integrationer | Systemet er ikke åben for lokale integrationer. | N/A |
Lokale robotter | Opsætning af lokale robotter skal godkendes ved Økonomistyrelsen. | Kunden er forpligtiget til at lade evt. opsætning af lokale robotter godkende ved Økonomistyrelsen. |
GDPR | Leverandøren er iht. den indgåede kontrakt forpligtiget til at sikrer at systemet understøtter GDPR. | Kunden har ansvar for at de data og de behandlingsaktiviteter, som foretages i systemet, tilrettelægges i overensstemmelse med GDPR-reglerne, herunder særligt ansvar for at undgå at der findes personhenførbare data/ følsomme persondata i fritekstfelter i systemet. |
Licens | Økonomistyrelsen har ansvar for at sikre de fornødne licenser til brug af systemet. | N/A |
Tabel 2.1
Skema over ansvarsdeling
Anvendelse af RejsUd kan, med mindre at kunden er forpligtiget til at anvende løsningen, opsiges med 6 måneders varsel til et kvartal ophører. I forbindelse med opsigelsen, vil adgangen til løsningen blive de-aktiveret.
Der kan etableres en se-adgang til arkiverne via tildeling af en særlig ’RejsUd ud- trædelsesrolle’. Udtrædelsesadgangen kan benyttes uden beregning, så længe løs- ningen drives ved Økonomistyrelsen under gældende RejsUd2 kontrakt.
Udtrædelsesrollen giver kunden adgang til arkiverne, og dermed ligeledes mulig- hed for at sikre gyldigt regnskabsmateriale i løsningens levetid. Institutionen, som udtræder af løsningen, er selv ansvarlig for at sikre gyldigt regnskabsmateri- ale.
Når Økonomistyrelsens kontrakt med leverandøren udløber, ophører den ud- trådte kundes adgang til alle data for både RejsUd2 og RejsUd1.
3. Fælles dataansvar – overordnet cirkulæreskrivelse
Der foreligger fælles dataansvar, når to eller flere dataansvarlige i fælles- skab fastlægger formålene med og hjælpemidlerne til behandling af person- data. Dette er i henhold til cirkulæreskrivelse om de fællesoffentlige syste- mer tilfældet for de fællesoffentlige systemer på økonomi-, betalings-, HR- og lønområdet, som Økonomistyrelsen leverer som følge af regnskabsbe- kendtgørelsen.
Økonomistyrelsen har i samarbejde med Datatilsynet udarbejdet en cirkulære- skrivelse (CIS nr. 9223 af 23. marts 2018), der gælder generelt for de statslige og selvejende kunder, der anvender de systemer som Økonomistyrelsen stiller til rå- dighed jf. regnskabsbekendtgørelsens §11, stk. 2.
Cirkulæreskrivelsen sikrer en dokumenteret og klar ansvarsdeling mellem Øko- nomistyrelsen og institutionerne efter databeskyttelsesforordningens artikel 26 om fælles dataansvar. Institutionerne er helt overordnet ansvarlig for de data, som de selv placerer i systemerne, og for de processer, der ligger lokalt hos insti- tutionen.
Cirkulæreskrivelsen betyder bl.a., at der ikke skal udarbejdes databehandleraftale mellem den enkelte institution og Økonomistyrelsen, samt at Økonomistyrelsen er ansvarlig for sikkerheden i de omfattede systemer.
Læs mere om fælles dataansvar og hent cirkulæreskrivelsen på xxx.xx
4. Servicemål og ydelsesbeskrivelse
Afsnittet indeholder servicemål og ydelsesbeskrivelser for RejsUd.
For RejsUd systemet er der udvalgt et antal processer, hvor der er defineret spe- cifikke mål for, hvor hurtigt disse skal kunne afvikles. Der måles og afrapporte- res på disse hver måned ifm. status på sidste måneds drift. I tilfælde af at disse ikke overholdes, følger Økonomistyrelsen op over for leverandøren mhp. at sikre, at performance forbedres, og servicemål indfries.
Systemet skal være 100 % tilgængelig 24/7, på nær ved aftalte driftsvinduer, hvor der fx sikkerhedspatches om natten.
I tilfælde af lukning/utilgængelighed, eksempelvis ved optimering med ny funkti- onalitet eller indlæsning af sikkerhedspatches, vil der blive givet særskilt besked herom på Økonomistyrelsens hjemmeside.
Se også driftsstatus på xxx.xx, der drives i et samarbejde mellem Statens Admini- stration og Økonomistyrelsen.
1 Der opereres med følgende klassificering. Blocker: Blokerende for afvikling af kritisk daglig forretnings- funktionalitet uden work around; Critical: Blokerende for afvikling af kritisk daglig forretningsproces uden work around, Major: Generende for afvikling af kritisk forretningsproces – uden work around, Minor: Uhensigtsmæssig /ukritisk med mulig work around, Trival: Forstyrrende i mindre grad. Work around er ir- relevant.
5. Nøglekontroller og tilhørende rapporter
Afsnittet beskriver XxxxXxx nøglekontroller og tilhørende rapporter. Nøg- lekontroller defineres som de vigtigste kontroller til sikring af sikker og sta- bil drift, samt at der ikke foregår noget uønsket eller ulovligt.
5.1 Beskrivelse af nøglekontroller
Tabel 5.1
Oplistning af nøglekontroller
Nøglekontroller, i forhold til RejsUd, skal forstås som de vigtigste kontroller, der knytter sig til integration med Navision Stat, herunder tværgående sporbarhed for aflæggelse af et retvisende regnskab og en sikker styring af udbetalinger.
Nøglekontrol | Beskrivelse |
1 | Det er muligt at følge transaktionssporet på tværs af RejsUd og Navision Stat. |
2 | Det er muligt at se i RejsUd, hvorvidt en afregning overført til Navision Stat er korrekt modtaget af Navision Stat. |
3 | Det er ikke muligt at overføre de samme afregninger fra RejsUd til Navision Stat (samme batchnummer) mere end 1 gang. |
4 | Kreditorer oprettet i Navision Stat overføres 1:1 til RejsUd, men uden betalingsoplysnin- ger, der fastholdes i Navision Stat. |
5 | Det er ikke muligt at ændre betalingsoplysningerne på en kreditor i XxxxXx, da disse ad- ministreres af Navision Stat. |
6 | Det er ikke muligt at foretage et udlæg på en kreditor i RejsUd, med mindre denne er op- rettet af Navision Stat, og mappet med korrekt kreditor i RejsUd. |
7 | Så snart der overføres en afregning for en given kreditor fra RejsUd til Navision Stat, er det ikke længere muligt at rette kreditoren i Navision Stat. |
8 | Det er kun et begrænset antal medarbejdere med en helt specifik brugerrettighedsprofil, der kan foretage opsætninger i Navision Stat til understøttelse af integration til RejsUd. |
6. Bruger- og rettighedsstyring
Formålet med administration af brugeradgang er at sikre adgang for autori- serede brugere og forhindre uautoriseret adgang til systemet.
6.1 Beskrivelse af primære og sekundære brugere
De primære brugere består af medarbejdere hos kunden, der foretager hyppige rejseafregninger på egne vegne og i særlig grad sekretærer, der foretager rejseaf- regninger på vegne af en eller flere chefer.
De medarbejdere, der kun sjældent rejser, har kun sporadisk behov for adgang til systemet og er klassificeret som sekundære brugere. Der er ifm. udvikling af sy- stemet fokus på, at brugergrænsefladen skal fungerer så intuitivt som muligt for netop at imødekomme sekundære brugere, der måske blot skal anvende systemet et par gange årligt.
Brugeradministration i den enkelte institution varetages af den lokale administra- tor direkte i administrationsmodulet.
Brugeradministrationsfunktionaliteten i RejsUd er beskrevet yderligere på xxx.xx
Som kunde har man selv ansvar for at følge op på egne privilegerede brugere kvartalsvist og for alle øvrige brugere halvårligt, mens det påhviler Økonomisty- relsen at kontrollere brugere med rollen Global systemadministrator.
RejsUd opererer konceptuelt med privilegerede rettigheder. Brugere med privile- gerede rettigheder er defineret som brugere med rollerne Global Systemadministra- tor, Lokal systemadministrator eller rollen Disponent kombineret med en opsat pro- kura. Ved Global og Lokal Systemadministrator forstås administration af bruger- modulet og opsætning af kontering mv.
Globale Systemadministratorer tildeles på øverste niveau og giver adgang til alle un- derliggende organisationer. Brugere med denne rolle kan oprette/slette (eller de- aktivere) samt tildele roller til alle brugere i systemet. Rollen tildeles en snæver gruppe af medarbejdere i Økonomistyrelsen med et helt særligt arbejdsbetinget behov, der følger af deres rolle som systemforvalter o.lign.
Lokale Systemadministratorer tildeles på lokalt niveau, typisk på koncernniveau som fx et ministerområde, og giver adgang til de underliggende organisationer. Lokale systemadministratorer kan oprette/slette (eller de-aktivere) samt tildele roller til
brugere, der er oprettet på samme institutions-/koncernniveau eller underlig- gende. Rollen tildeles en medarbejder med ansvar for brugeradministration hos kunden.
Globale- og lokale systemadministratorer kan ene og alene oprette/slette brugere samt tildele/fjerne roller. Disse to roller giver ikke adgang til nogen form for be- handling af bilag, og kan derfor ikke indgå i godkendelsesflowet.
Disponenter kan med tilstrækkelig prokura kan godkende bilag, der i forvejen er varemodtaget af anden person.
Brugeradministration, der knytter sig til revision, support hos enten Økonomi- styrelsen eller Statens Administration samt eksterne konsulenter godkendt af Økonomistyrelsen, administreres hos Økonomistyrelsen i regi af systemejer.
Der er ikke åbnet for ekstern adgang til systemet. Det er således ikke muligt for andre leverandører end kontraktens leverandør med underleverandører at tilgå udviklingsmiljøet.
Økonomistyrelsen forestår den samlede leverandørstyring, hvad enten det drejer sig om Contract Management, Service Management eller Change Management.
6.6 Vejledninger, roller/rettighedsbeskrivelser og blanketter
Alle vejledninger vedrørende systemet kan hentes på Økonomistyrelsens hjem- meside.
Gå til brugervejledninger til RejsUd på xxx.xx
Afsnittet beskriver forretningsnødplaner for de mest kritiske opgaver i RejsUd. Forretningsnødplanerne kan følges, hvis det ikke er muligt at ar- bejde normalt i systemerne, fordi de er utilgængelige i længere tid.
Skulle der opstå et systemnedbrud, som resulterer i, at XxxxXx ikke er tilgænge- ligt, må institutionerne overgå til manuelle processer for rejseafregning og hånd- tering af udlæg.
Dette betyder:
• At rejser skal bestilles direkte hos rejsebureauet.
• At der ikke automatisk kan ske en afregning af udlæg via Navision Stat.
• At der ikke kan udveksles data, baseret på automatiserede datastrømme med: SKAT, SEB og DanTaxi.
Det er op til kunden at afgøre, hvor længe man kan vente med at iværksætte egne nødplaner. Kunden skal afveje om omkostningen ved at iværksætte nødplanen – som vil kræve manuel håndtering – mod generne ved at afvente, at systemet igen er i normal drift.
Det er op til kunden at fastlægge de konkrete arbejdsgange og ansvarsfordelingen internt i institutionen i det omfang, hvor kunden kan gennemføre manuelle ar- bejdsgange.
Kunden bør i alle tilfælde følge med i den driftsstatus som Økonomistyrelsen lø- bende opdaterer, og hvoraf det fremgår, hvilke tiltag Økonomistyrelsen har igangsat og den forventede tidshorisont herfor.
Statens Administration og Økonomistyrelsen sørger for en løbende driftsinfor- mation. Denne opdateres dagligt i tilfælde af fejl, der er kritiske for normal drift.
xxx.xx