Storlek: px
Starta visningen från sidan:

Download ""

Transkript

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21 Bilaga 39b

22

23 Bilaga 39c

24 Bilaga 39c

25 Bilaga 39c

26 Bilaga 39c

27 Bilaga 39c

28 Bilaga 39c

29 Bilaga 39c

30 Bilaga 39c

31 Bilaga 39c

32 Bilaga 39c

33 Bilaga 39c

34 Bilaga 39c

35 Bilaga 39c

36 Bilaga 39c

37 Bilaga 39c

38

39

40

41 Bilaga 40c

42 Bilaga 40c

43 Bilaga 40c

44 Bilaga 40c

45 Bilaga 40c

46 Bilaga 40c

47 Bilaga 40c

48 Bilaga 40c

49 Bilaga 40c

50 Bilaga 40c

51 Bilaga 40c

52 Bilaga 40c

53 Bilaga 40c

54 Bilaga 40c

55

56 Bilaga 41a 2 (2) Arbetet med att migrera ULs system till MSI för att få en tryggare drift och bättre möjligheter till övervakning pågår och det finns en långsiktig plan som skall dokumenteras för att tydliggöra för alla parter och en riskanalys kommer att genomföras i samband med detta. För Landstinget i Uppsala län Johan Örjes Kollektivtrafiknämndens ordförande Johan Wadman Trafikdirektör

57

58

59 Bilaga 41c Innehållsförteckning Sammanfattning 2 1 Inledning Bakgrund motiv för granskning Uppdrag och revisionsfråga Genomförande, avgränsningar och metod Genomförande Avgränsningar Metod Läsanvisning 7 2 Iakttagelser och bedömningar Driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Uppföljning av driftstopp inom LUL Iakttagelser och bedömningar Rekommendationer Förändringshantering inom LUL Iakttagelser och bedömningar Rekommendationer Dokumentation avseende IT-miljön Iakttagelser och bedömningar Rekommendationer Beredskap vid driftstörningar Iakttagelser och bedömningar Rekommendationer Intern styrning och kontroll av IT Iakttagelser och bedömningar Rekommendationer 16 3 Besvarande av den övergripande revisionsfrågan 17 Landstinget i Uppsala län 1 av 18 PwC

60 Bilaga 41c Sammanfattning PwC har av revisorerna i Landstinget i Uppsala län (LUL) fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen har för avsikt att utreda om landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och ITdriftsystem. PwC har gjort följande bedömning av den övergripande revisonsfrågan, Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Landstinget har till stora delar vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. En av de främsta anledningarna till detta är att stora delar av IT-miljön är redundant och att det finns övervakningsverktyg för att snabbt upptäcka eventuella fel eller brister i systemen. Utöver detta finns det inom den centrala IT-funktionen en etablerad förändrings-process implementerad, vilket innebär att förändringar testas innan produktions-sättning och därmed minskas risken för driftstopp. Orsaken till detta menar vi är att det, enligt intervjuade personer, sällan förekommit några driftstopp som påverkat slutanvändare av IT i landstinget de senaste åren. Värt att nämna är dock att det inte finns någon definition av vad ett driftstopp är och att det inte sker någon formell eller systematisk sammanställning av driftstopp inom landstinget. En katastrofplan för IT saknas, vilket, i händelse av en större driftincident, kan få en stor påverkan på tillgängligheten. Vår bedömning är att risken för oplanerade driftstopp inom Uppsala Länstrafik är högre än inom övrig verksamhet. Uppsala Länstrafik är till stor del en egen enhet gällande IT-infrastruktur och har därmed inte haft möjlighet att dra nytta av de processer och rutiner som finns inom landstingets övriga verksamhet. Det saknas bland annat en formell förändringsprocess och inga systematiska uppföljningar eller utvärderingar av driftstopp genomförs. Ett arbete med att migrera system till Landstingets IT-funktion är dock initierat. Avseende intern styrning och kontroll av IT inom landstinget kan det konstateras att styrningen över IT kan förbättras. Det lyfts bland annat fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Vidare är IT-funktionen till stora delar decentraliserad till ett flertal fristående parter där Ledningskontoret ofta saknar mandat att styra i IT-frågor. Vi har även noterat att det råder viss otydlighet avseende supportorganisationen och dess struktur vilket resulterar i utmaningar med att följa upp och analysera supportärenden för att Landstinget i Uppsala län 2 av 18 PwC

61 Bilaga 41c proaktivt kunna samordna och införa förbättringsåtgärder, vilka kan förbättra ITstödet och IT-leveransen samt i en förlängning förhindra oplanerade driftstopp. Det finns ett antal områden som landstinget bör överväga att prioritera och där åtgärder krävs för att uppnå en mer ändamålsenlig IT-leverans. Nedan listas de områden som PwC anser vara högst prioriterade. Vi rekommenderar landstinget att: se över sin styrmodell inom IT för att skapa bättre förutsättningar för landstinget att ta fram en gemensam målbild för IT och därmed kunna styra IT samt prioritera sin IT-funktion, se över lämpligheten i den organisationsstruktur som finns idag för att förbättra sina interna processer, interna styrning samt interna kontroll. Framförallt med fokus på relationen med IT-driftavdelningen och den supportstruktur som är instiftad, utarbeta en formell kontinuitets- och katastrofplan, som baseras på av verksamheten genomförda riskanalyser, för IT inom landstinget, formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, ta fram en strategi och plan för hur och vilka processer som ska implementeras i Uppsala Länstrafiks verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med Ledningskontoret och ITdriftavdelningen för att säkerställa att den går i linje med landstingets långsiktiga planer. Landstinget i Uppsala län 3 av 18 PwC

62 Bilaga 41c 1 Inledning 1.1 Bakgrund motiv för granskning Många organisationer är idag beroende av informationsteknologi (IT) för att bedriva sin verksamhet. Ett oplanerat avbrott kan få allvarliga konsekvenser, både för den enskilde och för samhället. Oplanerade driftstopp i vitala system har skapat problem inom landsting. Liknande problem har förekommit i både offentliga och privata informationssystem. Det finns ett antal kända orsaker till oplanerade driftstopp, exempelvis att det brister i den aktuella applikationens arkitektur och i dokumentationen av arkitekturen och programstrukturen, bristfälligt utformade och otillräckligt testade uppdateringar av applikationens programvara, otillräcklig kapacitet hos de servrar som applikationen nyttjar samt bristfällig eller otillräcklig beredskap för att snabbt kunna återstarta applikationen efter ett hårdvarufel. LUL:s flora av informationssystem består av en heterogen samling av applikationer. Allmänhetens intresse riktas oftast mot de stödsystem som vårdpersonalen använder, i synnerhet journalsystem. Ur ett säkerhetsperspektiv är det emellertid även viktigt att uppmärksamma de administrativa stödsystemen för t ex ekonomi och personalhantering. Precis som andra verksamhetstillgångar är information och data tillgångar som bör skyddas. Informationssäkerhet omfattar förutom de åtgärder som vidtas för att hindra att information läcker ut, förvanskas eller förstörs, även de åtgärder som vidtas för att säkerställa att informationen är tillgänglig när den behövs. Ett driftstopp kan resultera i att ett system, program eller enskild applikation inte är tillgänglig och fungerar när användaren behöver den. Ett oplanerat driftstopp resulterar oftast även i andra följdproblem internt och externt samt medför ökade finansiella merkostnader för verksamheten. Landstinget i Uppsala län 4 av 18 PwC

63 Bilaga 41c 1.2 Uppdrag och revisionsfråga PwC har av revisorerna i Landstinget i Uppsala län fått i uppdrag att granska risken för driftstopp i landstingets informationssystem. Granskningen syftar till att analysera hur landstinget säkerställer att dess informationssystem är utformat på ett sådant sätt att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Den övergripande revisionsfrågan som granskningen syftar till att besvara är: Har landstinget vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp? Inom ramen för den ovanstående revisionsfrågan har sex nedbrutna delfrågor definierats, dessa är: 1. I vilken utsträckning har det förekommit oplanerade driftstopp under de senaste åren? 2. Sker systematisk uppföljning och utvärdering vid planerade och oplanerade driftstopp? 3. Finns det tillfredsställande rutiner inför uppdateringar och en beredskap för att återgå till tidigare version vid en misslyckad uppdatering? 4. Finns det ett tydligt ansvar för dokumentation av arkitektur och programstruktur samt en långsiktig planering som säkerställer att det finns en tillräcklig serverkapacitet? 5. Finns det beredskap inför hårdvarufel och överbelastningsattacker? 6. Finns det en integrerad process för intern styrning och kontroll med mål och årliga riskanalyser? Landstinget i Uppsala län 5 av 18 PwC

64 Bilaga 41c 1.3 Genomförande, avgränsningar och metod Genomförande Intervjuer har genomförts med nyckelpersoner inom landstinget samt inläsning och genomgång av policys, styrande dokument och annan relevant dokumentation. Granskningen har för avsikt att säkerställa att landstingets informationssystem är utformat så att system, program och enskilda applikationer är tillgängliga när användaren behöver dem. Granskningen har, i och med de intervjuade personernas olika roller, täckt in landstingets väsentliga informationssystem inom kollektivtrafik, hälso- och sjukvård samt landstingsövergripande system, exempelvis journalsystem, mailsystem, intranät och IT-driftsystem. Följande roller har intervjuats: Informationssäkerhetsansvarig på Ledningskontoret Kvalitetssamordnare MSI Förvaltningsledare samt Objektägare för EPJ IT-direktör i Landstinget i Uppsala län Chef för Teknikstöd IT Förvaltningsledare för Webbkommunikation Chef för Nät och server Förvaltningsledare IT för systemplattformen Domino IT-chef inom Uppsala Länstrafik Avgränsningar Granskningens omfattning begränsas till de revisionsfrågor som definierats av Landstinget i Uppsala län, se sektion 1.2 Uppdrag och revisionsfråga. Vidare har granskningen endast utgått från (och kan således inte analysera) annan information än vad Landstinget i Uppsala län tillgängliggjort för oss genom intervjuer och tillhandahållen dokumentation. Landstinget i Uppsala län 6 av 18 PwC

65 Bilaga 41c Metod Under granskningen har delar av PwC:s verktyg IT Management Analysis (ITM) använts. Verktyget bygger på en databas som innehåller jämförbar (så kallad good practice och benchmarking ) samt relevant information för generell ITverksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Även relevanta delar av Riktlinjer för styrning av informationssäkerhet (ISO/IEC 27002:2005) och ramverket COBIT har utgjort en grund i bearbetningen av insamlat material. Nedan följer en mer detaljerad beskrivning av respektive område: Område A IT-strategi B IT-leverans C Teknologi D Personal E System och applikation Beskrivning Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Hur är strategin kopplad till en stabil och säker IT-drift? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans samt ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur mäts stabiliteten i IT-driften och vilka krav ställer verksamheten? Följs trender inom teknologi? Är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Finns tekniska förutsättningar för en stabil IT-drift? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Finns adekvat kompetens avseende IT-drift? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva? Ger de tillräckliga beslutsunderlag och identifierar om ytterligare behov finns? Hur monitoreras applikationer i relation till en stabil IT-drift? 1.4 Läsanvisning Rapporten inleds med iakttagelser från de detaljfrågor som hör till granskningen. Iakttagelserna följs av våra rekommendationer för respektive detaljfråga och relaterade revisionskriterier. Avslutningsvis ges en samlad bild av våra rekommendationer för den övergripande revisionsfrågan. Landstinget i Uppsala län 7 av 18 PwC

66 Bilaga 41c 2 Iakttagelser och bedömningar Nedan ges en nulägesbild av de sex underliggande frågorna till den övergripande revisionsfrågan huruvida landstinget har vidtagit ändamålsenliga åtgärder för att minska risken för oplanerade driftstopp. Respektive nulägesbild följs av vår bedömning av landstingets nuvarande situation inom respektive område. 2.1 Driftstopp inom LUL Avsnittet syftar till att bedöma förekomsten av oplanerade driftstopp inom LUL Iakttagelser och bedömningar Det har vid våra intervjuer framkommit att det inom landstinget i princip inte har skett några driftstopp under de senaste åren. Det senaste större driftstoppet inträffade 2011 vid en planerad versionsuppdatering av patientjournalsystemet. Det noterades under granskningen att det byggts upp redundans på många av landstingets system, vilket är en trolig förklaring till att så få driftstopp skett. Verksamhetens krav att upprätthålla drift av det elektroniska patientjournalsystemet (EPJ) utanför kontorstid ligger som grund för den redundanta miljön. Enligt uppgift finns idag system som är redundanta, utan att någon riskbedömning föranletts. Det har även framkommit att det finns system som bör få en högre tillgänglighet, exempelvis intranätet NAVET. Intranätet är uttalat den kommunikationskanal som ska användas vid driftavbrott men enligt uppgift är systemet inte redundant. Detta innebär att det vid driftavbrott finns en risk för att det inte går att nå ut med information till verksamheten. Inom ramen för granskningen skulle en kartläggning av förekomsten av oplanerade driftstopp inom landstinget genomföras. Denna kartläggning har inte varit möjlig att genomföra då det ej sker någon formell eller systematisk sammanställning av planerade eller oplanerade driftstopp inom landstinget. Värt att notera är att denna typ av sammanställning aldrig efterfrågats från verksamheten eller Ledningskontoret (LK). Vi har även noterat att det saknas en definition av vad som är ett driftstopp. Definitionen av ett driftstopp saknas på det strategiska övergripande planet inom LK och inom IT-driftavdelningen (MSI), Bedömningar Vår bedömning är att det inte alltid föreligger något uttalat verksamhetskrav eller genomförda riskanalyser för den systemredundans som finns idag, vilket kan innebära att kostnad inte står i paritet med behov eller att system som bör vara redundant, inte är det. Vidare saknas det en definition av vad ett driftstopp är vilket kan innebära att begreppet inte har samma innebörd för MSI som för de olika verksamheterna inom LUL. I och med att det upplevs att få driftavbrott som påverkat verksamheten har skett, bedömer vi att det finns en stor sannolikhet att framtagna verksamhetsrutiner för oplanerade driftavbrott inte är kända för landstingets medarbetare och därmed blir ineffektiva. Landstinget i Uppsala län 8 av 18 PwC

67 Bilaga 41c Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: formulera en enhetlig definition av vad ett driftstopp är för att skapa förutsättningar för sammanställning, uppföljning samt utvärdering av oplanerade driftstopp, se över i vilken utsträckning den redundans man byggt upp är relevant för alla delar i verksamheten för att utvärdera om kostnaderna för redundansen är berättigade, löpande säkerställa att manuella reservrutiner vid driftavbrott fungerar, inom IT-organisationen och inom landstingets verksamhet. 2.2 Uppföljning av driftstopp inom LUL Avsnittet syftar till att bedöma huruvida uppföljning och utvärdering sker vid planerade och oplanerade driftstopp Iakttagelser och bedömningar MSI har en väl utvecklad förändringsprocess som bygger på ramverket Ledningssystem för IT-tjänster (ISO/IEC 20000). Förändringsprocessen är väl implementerad och används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt innan produktionssättning sker i landstingets IT-miljö. Bild 1, process för utvärdering av förändringsärende Det har vid våra intervjuer framkommit att löpande uppföljning och utvärdering av driftstopp inom MSI inte sker på ett systematiskt sätt. Dock är uppföljning och Landstinget i Uppsala län 9 av 18 PwC

68 Bilaga 41c utvärdering av testade förändringar en del i MSI:s dokumenterade förändringsprocess, vilket minskar risken för driftstopp inom LUL. Vidare har det framkommit att det saknas en definition av vad ett driftstopp är inom Landstinget. Även överenskommelser mellan MSI LK och MSI verksamhet/objekt saknar nyckeltal för att kunna göra relevanta uppföljningar, t ex mätningar av tillgänglighetstider och prestanda. Inom MSI pågår ett arbete med att ta fram ett tydligare tjänsteutbud, via en så kallad tjänstekatalog, vilket vi bedömer som positivt. En bra modell är att i tjänstekatalogen definiera nyckeltal och/eller andra relevanta mätetal för att skapa gynnsammare förutsättning för uppföljning och underlätta utvärdering av arbete som utförts av MSI. Uppsala Länstrafik (UL) är sedan 1 januari 2012 en del av LUL, dock är de till stor del fortfarande en egen enhet gällande IT-infrastruktur. UL saknar en formell förändringsprocess och genomför inga systematiska uppföljningar eller utvärderingar av driftstopp. Viss IT-infrastruktur är migrerad till MSI och denna följer de processer som MSI har implementerat. Det osystematiska arbetssättet rörande brister i formella förändringsprocesser ökar risken för oplanerade driftstopp inom den IT-miljö som fortfarande står under UL:s driftansvar. Det hålls årliga kunddialoger mellan MSI och deras kunder, som bygger på att den årliga leveransen summeras på en övergripande nivå. Dock hålls sällan regelbundna (månatliga) leveransavstämningar mellan MSI och deras kunder, vilket kan förväntas av en modern driftsleverantör. Det noteras dock att inga direkta krav på MSI finns att leverera statistik avseende leveransen, varken från LK eller från verksamheten. Bedömningar Vår bedömning är att en tydligt definierad tjänstekatalog är en förutsättning för en ändamålsenlig leverans av IT. Likaså är en framgångsfaktor för ett bra samarbete att regelbundet genomföra leveransavstämningar mellan en driftorganisation och dess kunder Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: regelbundet efterfråga leveransstatistik, exempelvis genom att upprätta mer frekventa och formaliserade avstämningsmöten med MSI för säkerställa att levereransen sker enligt gällande överenskommelse, på ett mer systematiskt sätt följa upp och utvärdera incidenter genom att ställa tydligare krav på MSI, utarbeta en plan för hur en formell förändringsprocess kan implementeras hos UL för att kunna göra systematisk uppföljning eller utvärdering av driftstopp. Landstinget i Uppsala län 10 av 18 PwC

69 Bilaga 41c 2.3 Förändringshantering inom LUL Avsnittet syftar till att bedöma om rutiner samt tekniska förutsättningar finns för att återgå till tidigare version vid en misslyckad uppdatering Iakttagelser och bedömningar En förändringsprocess finns implementerad inom MSI som bygger på ramverket ISO/IEC LK har även under 2013 beslutat att ramverket ska implementeras för alla delar som jobbar med IT-relaterade processer inom landstinget. Förändringsprocessen används både inom verksamheten och IT. Enligt uppgift godkänns alla förändringar formellt i landstingets IT-miljö innan produktionssättning sker. Uppföljning och utvärdering av testade förändringar är en del i MSI:s dokumenterade förändringsprocess. Bild 2, förändringsprocess Det framkom under intervjuerna att problem fångas upp redan i testprocessen, vilket innebär att driftsättning av problem sällan förekommer. I de fall det är tekniskt möjligt går det att återgå till tidigare versioner vid en eventuell misslyckad uppdatering. För landstingets patientjournalsystem står dock denna möjlighet i direkt relation till när användare släpps in i systemet efter en uppgradring, då det ej går att återgå till tidigare versioner om patientdata har registrerats i den uppdaterade versionen. Landstinget i Uppsala län 11 av 18 PwC

70 Bilaga 41c UL:s relativt nya inträde i LUL:s organisation gör att vissa delar av driften ligger kvar i deras gamla miljö och driftas av dotterbolaget Prebus AB. De miljöer som tillkommit sedan inträdet i LUL:s organisation driftas av MSI och innefattas således av MSI:s förändringsprocess. Den långsiktiga strategin inom UL är att migrera all IT-drift till MSI. Bedömningar Vår bedömning är att det, för de system som hanteras av MSI, finns tillfredsställande rutiner för uppdateringar samt möjlighet att återgå till tidigare version vid en misslyckad uppdatering. Vi bedömer att avsaknaden av en formell process för förändringshantering riskerar att påverka driftstabiliteten i UL:s äldre kvarvarande IT-miljö Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en strategi och plan för hur och vilka processer som ska implementeras i UL:s verksamhet för att skapa förutsättningar att göra en systematisk uppföljning eller utvärdering av driftstopp. Denna strategi bör stämmas av med LK och MSI för att säkerställa att den går i linje med landstingets långsiktiga planer, fortsätta arbetet med införandet av ramverket ISO/IEC inom hela organisationen och fortsätta att utveckla och implementera kvarvarande delar av ramverket. 2.4 Dokumentation avseende IT-miljön Avsnittet syftar till att bedöma den övergripande ansvarsfördelningen avseende dokumentation av arkitektur samt hur landstinget säkerställer tillräcklig serverkapacitet Iakttagelser och bedömningar Det finns otydligheter gällande ansvaret för hur dokumentation ska ske inom landstinget. Under våra intervjuer framgick det att verksamheten förutsätter att dokumentationsansvaret för den tekniska infrastrukturen helt ligger på MSI. Vid dialogen med MSI framkom att deras kunder förväntas ansvara för dokumentation av system, integrationer och annan verksamhetsnära dokumentation. Vi kan konstatera att det saknas tydliga definitioner för var gränsdragningen för dokumentation går samt hur och när den ska utföras. Enligt uppgift saknar UL adekvat dokumentation avseende sin IT-miljö inom ett flertal områden. Vidare saknas det dokumentationsmallar för att kvalitetssäkra och standardisera dokumentationen inom organisationen. MSI ansvarar för den långsiktiga kapacitetsplaneringen, vilken ska säkerställa att IT-infrastrukturen är på en adekvat nivå utifrån verksamhetens behov, för de Landstinget i Uppsala län 12 av 18 PwC

71 Bilaga 41c system MSI ansvarar för. Kapacitetsplaneringen utgår från den överenskommelse som tecknats med respektive objekt. För att säkerställa en hög tillgänglighet till systemen har MSI, genom automatiserade verktyg, daglig övervakning på sin ITmiljö för att på så sätt upptäcka fel och brister i både hårdvara, system och applikationer. Supportavtal såväl som utbytesperioder för infrastrukturen inom landstinget hanteras av MSI. Den generella uppfattningen bland de intervjuade personerna från verksamheten är att de inte upplever några kapacitetsproblem, varken vad gäller lagring eller drift, vilket vi bedömer som positivt. Bedömningar Vår övergripande bedömning är att det otydliga dokumentationsansvaret inom LUL generellt samt UL:s brister inom området resulterar i att LUL:s dokumentation kan vara bristfällig Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: tydliggöra dokumentationsansvaret mellan MSI och dess kunder, där det anses vara relevant, upprätta dokumentationsmallar för att effektivisera, standardisera och kvalitetssäkra dokumentationen, inom UL genomföra en riskanalys avseende dokumentationsbehovet i sin verksamhet. Riskanalysen bör resultera i en handlingsplan där det framgår vilka system som prioriteras högst och därmed kräver utförlig dokumentation. 2.5 Beredskap vid driftstörningar Avsnittet syftar till att bedöma landstingets beredskap vid hårdvarufel och/eller om överbelastningsattacker skulle inträffa Iakttagelser och bedömningar Landstingets IT-driftmiljö, som hanteras av MSI, är till stora delar redundant och ett övervakningsverktyg för att upptäcka oplanerade avbrott eller om andra driftstörningar finns implementerat. Detta bedömer vi fungera tillfredsställande. Under våra intervjuer framkom vidare att det idag saknas både kontinuitets- och katastrofplan för IT inom landstinget. LUL har inte heller genomfört någon prioritering avseende vilka IT-system som är mest kritiska för verksamheten, vilket är en förutsättning för att kunna ta fram en kontinuitetsplan baserad på verksamhetens behov. En förmildrande omständighet i sammanhanget är, som tidigare nämnts, att stora delar av miljön idag är redundant. Som ett alternativ till en IT-kontinuitetsplan nyttjas den landstingsgemensamma funktionen Tjänsteman i beredskap inom landstinget. Denna lösning anses av intervjuade personer hantera situationer som kan ha viss, eller stor, inverkan på IT-driften inom LUL. Gällande återställningsplaner för IT-drift, finns det ingen dokumenterad plan för detta framtagen. För återställning av den centrala IT-infrastrukturen finns ingen Landstinget i Uppsala län 13 av 18 PwC

72 Bilaga 41c formell plan utan kunskapen finns hos respektive systemansvarig på MSI. Värt att notera är att systemdokumentationen endast finns lagrad elektroniskt. Vid ett eventuellt hårdvaruhaveri skulle detta kunna innebära att dokumentationen avseende systemen ej är tillgänglig och därmed minskar sannolikheten för att kunna återskapa systemmiljön. LUL genomför inga regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Enligt flertalet av de intervjuade framkommer det att landstinget har kontroller på plats för att säkerställa att det finns ett fungerande antivirusskydd och brandväggsskydd, vilket vi bedömer vara positivt. Genom intervjuerna framkommer det att den allmänna uppfattningen från verksamheten är att MSI levererar sina tjänster på en tillfredsställande nivå. Inom UL finns en nystartad beredskapsfunktion som har till uppgift att lösa ITrelaterade problem utanför ordinarie arbetstider. UL har en reaktiv driftsorganisation då UL, för de system de driftar själva, saknar ett övervakningssystem. Detta innebär att inga larm aktiveras vid oplanerade driftavbrott vilket t ex kan resultera i att felsökning tar längre tid än nödvändigt. UL:s externa webbplats driftas av en extern leverantör som därmed sköter övervakning och hanterar eventuella driftstopp. Vi kan konstatera att UL har flertalet brister avseende beredskap för driftstopp. Vid vår intervju framkom det att många av bristerna är relaterade till arv från tidigare bristande IT-styrning. Vid våra intervjuer framgår det att ovanstående brister inom UL är kända och att det finns en plan för hur dessa ska hanteras på ett ändamålsenligt sätt, planen är dock inte formellt dokumenterad och kommunicerad. Bedömningar Vår bedömning är att avsaknaden av en formell kontinuitetsplan för IT samt att det saknas dokumenterade återställningsplaner ökar risken för att allvarliga incidenter i IT-miljön tar längre tid än nödvändigt att återställa. Vidare kan uteblivna regelbundna sårbarhetsanalyser komma att påverka driftstabiliteten på ett negativt sätt då potentiella säkerhetsbrister förbises Rekommendationer Utifrån ovan beskrivna iakttagelser, rekommenderar vi LUL att: ta fram en formell kontinuitets- och katastrofplan, baserad på riskanalyser genomförda i verksamheten, för IT inom landstinget, säkerställa att systemdokumentation för den centrala IT-infrastrukturen finns att tillgå, exempelvis på ett USB-minne som förvaras på ett säkert sätt, vid en katastrofsituation. Detta bör ingå som en del i avbrottsplanen för IT, genomföra regelbundna sårbarhetsanalyser av den interna IT-miljön för att upptäcka säkerhetsbrister, sårbarheter eller andra hot. Genom att Landstinget i Uppsala län 14 av 18 PwC

73 Bilaga 41c regelbundet analysera IT-miljön förbättras driftstabiliteten då potentiella säkerhetsbrister identifieras och därmed enklare kan åtgärdas, säkerställa att en formell plan för hur UL:s IT-miljö ska hanteras i framtiden tas fram. Planen bör baseras på en av verksamheten genomförd riskanalys för sina system. 2.6 Intern styrning och kontroll av IT Avsnittet syftar till att bedöma den övergripande styrningen med fokus på styrande dokument och ansvar inom IT Iakttagelser och bedömningar LUL arbetar enligt förvaltningsmodellen PM 31 och förvaltningsplanerna revideras årligen för respektive förvaltningsobjekt. Den centrala IT-organisationens, MSI och LK:s verksamhetsplaner baseras på förvaltningsobjektens förvaltningsplaner. Vidare har det under 2013 genomförts IT-riskanalyser med utgångspunkt från landstingets ramverk för egenkontroll. Syftet med riskanalyserna är att identifiera och sammanställa IT-risker som är landstingsgemensamma och att ta fram en åtgärdsplan för hantering av dessa risker. Informationssäkerhetsanvarig på LK är ansvarig för att sammanställa en landstingsgemensam riskkarta. IT-funktionen är till stora delar decentraliserad till ett flertal fristående parter. Därtill ansvarar verksamheten bland annat för IT-inköp och första- och andralinjesupport för IT-frågor. MSI, som en av de större parterna, arbetar som en egen enhet och tillhör organisatoriskt Akademiska Sjukhuset. Den nuvarande organisationsstrukturen medför att LK inte har mandat att strategiskt styra arbetet hos MSI på ett sätt som är effektivt för landstinget. En historisk uppfattning har varit att LK:s möjlighet att påverka IT, framförallt inom MSI, varit svag. Det lyfts även fram att det upplevs som att det saknas tydliga gemensamma mål för IT som helhet inom landstinget. Styrningen över IT och MSI upplevs också kunna förbättras, även om det tas upp att styrningen från LK förbättrats och blivit tydligare de senaste åren. För att hantera frågor på en strategisk nivå finns etablerade mötesforum, både med LK och med MSI. Dock upplevs det som om dessa inte fungerar på ett tillfredsställande sätt. Ett exempel som tas upp är att en styrgrupp för övergripande prioritering och beredning av IT-frågor som berör hela landstinget saknas. Det har under intervjuer med förvaltare, representanter från IT och från de berörda PM 3 -objekten framkommit att en otydlighet upplevs avseende roller och ansvar mellan objekten, LK och MSI. Otydligheten leder till oklarheter kring var beslut om t ex prioriteringar hör hemma. En problembild som togs upp under vissa av intervjuerna var att det inom strukturen för PM 3 saknas en liknande styrgrupp, som 1 PM 3 är en förvaltningsmodell som beskriver hur systemförvaltning ska organiseras för att kunna bedrivas på ett affärsmässigt sätt. Landstinget i Uppsala län 15 av 18 PwC

Granskning av risken för driftstopp i landstingets informationssystem

Granskning av risken för driftstopp i landstingets informationssystem Revisionsrapport Granskning av risken för driftstopp i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Magnus Olson-Sjölander Jens Ryning Mars 2014 Innehållsförteckning Sammanfattning

Läs mer

Övergripande granskning av ITverksamheten

Övergripande granskning av ITverksamheten Övergripande granskning av ITverksamheten Februari 2006 (1) 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Förstudie: Övergripande granskning av ITdriften

Förstudie: Övergripande granskning av ITdriften Revisionsrapport Förstudie: Övergripande granskning av ITdriften Jönköpings Landsting Juni 2013 Innehållsförteckning Sammanfattning... 1 1. Inledning... 2 1.1. Bakgrund... 2 1.2. Uppdrag och revisionsfrågor...

Läs mer

Landstinget i Uppsala län

Landstinget i Uppsala län Revisionsrapport Granskning av förvaltningskostnader för informationsteknologi och användbarhet hos olika applikationer i landstingets informationssystem Landstinget i Uppsala län Janne Swenson, Jens Ryning

Läs mer

Hantering av IT-risker

Hantering av IT-risker Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10 Innehållsförteckning

Läs mer

Översyn av IT-verksamheten

Översyn av IT-verksamheten www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Informationssäkerhetspolicy inom Stockholms läns landsting

Informationssäkerhetspolicy inom Stockholms läns landsting LS 1112-1733 Informationssäkerhetspolicy inom Stockholms läns landsting 2013-02-01 Beslutad av landstingsfullmäktige 2013-03-19 2 (7) Innehållsförteckning 1 Inledning...3 2 Mål... 4 3 Omfattning... 4 4

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Jönköpings län Kerem Kocaer Johan Elmerhag Jean Odgaard September 2013 Innehållsförteckning

Läs mer

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012

www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 www.pwc.com/se Nynäshamns kommun Översyn av IT-verksamheten September 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys -

Läs mer

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning

www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning www.pwc.se Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning Innehållsförteckning 1. Inledning 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer

Läs mer

Övergripande granskning av ITverksamheten. Härryda kommun

Övergripande granskning av ITverksamheten. Härryda kommun Övergripande granskning av ITverksamheten i Härryda kommun Våren 2011 INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 4 3.1 Representanter... 5 4. Övergripande sammanfattning... 6 5.

Läs mer

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland Revisionsrapport 28 Oktober 2011 Innehållsförteckning 1. Bakgrund och Syfte... 3 2. Revisionsfrågor och revisionskriterier...

Läs mer

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013

www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 www.pwc.com/se Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Sammanfattning 3. Genomförande och Metod 4. Detaljerad analys - observationer och

Läs mer

LANDSTINGSSTYRELSENS FÖRVALTNING

LANDSTINGSSTYRELSENS FÖRVALTNING Textkommentar Landstingsstyrelsens förvaltning Juli 2006 LANDSTINGSSTYRELSENS FÖRVALTNING (EXKL VÅRDKÖP) MÅNADSBOKSLUT 2006 INNEHÅLLSFÖRTECKNING 1. SAMMANFATTNING AV MÅNADSBOKSLUT...3 2. UTFALL FÖR PERIODEN

Läs mer

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Revisionsrapport IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser Landstinget i Östergötland Kerem Kocaer Magnus Olson-Sjölander Björn Johrén IT-specialister Eva Andlert

Läs mer

Månadsrapport juli 2014

Månadsrapport juli 2014 Månadsrapport juli Ekonomiskt resultat -07-31 184,5 mkr Resultatanalys Det ekonomiska resultatet i månadsbokslutet till och med juli uppgår till 184,5 mkr. För motsvarande period 2013 var resultatet exklusive

Läs mer

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 www.pwc.com/se Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012 Innehållsförteckning 1. Bakgrund och syfte 2. Metod för granskning 3. Deltagande personer 4.

Läs mer

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun Revisionsrapport Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång Björn Johrén, Säkerhetsspecialist Klippans kommun Innehållsförteckning 1. Inledning 1 1.1.

Läs mer

MÅNADSRAPPORT 2009. STOCKHOLMS LÄNS LANDSTING Månadsrapport 2009 Nya Karolinska Solna INNEHÅLLSFÖRTECKNING

MÅNADSRAPPORT 2009. STOCKHOLMS LÄNS LANDSTING Månadsrapport 2009 Nya Karolinska Solna INNEHÅLLSFÖRTECKNING STOCKHOLMS LÄNS LANDSTING Månadsrapport MÅNADSRAPPORT INNEHÅLLSFÖRTECKNING 1 SAMMANFATTNING AV MÅNADSBOKSLUT... 1 2 UPPFÖLJNING AV HUVUDMÅL... 1 3 VERKSAMHETENS OMFATTNING OCH INNEHÅLL... 2 4 VERKSAMHETENS

Läs mer

Dagens kostnad jämfört med ny modell

Dagens kostnad jämfört med ny modell Dagens kostnad jämfört med ny modell OBS ingen ekonomisk effekt av gemensam upphandling är beräknad! Landsting Nuvarande kostnad antal timmar Diff nuvarande kostnad och modell 50 yta/50inv Diff nuvarande

Läs mer

Månadsrapport september 2014

Månadsrapport september 2014 Månadsrapport september Ekonomiskt resultat -09-30 215,4 mkr Resultatanalys Det ekonomiska resultatet i månadsbokslutet till och med september uppgår till 215,4 mkr. I resultatet ingår jämförelsestörande

Läs mer

IT-strategi-Danderyds kommun 2010-2014

IT-strategi-Danderyds kommun 2010-2014 IT-strategi-Danderyds kommun 2010-2014 Beslutsinstans: Kommunfullmäktige Beslutsdatum: 2010-09-27 Giltighetstid: 2010-09-27 t o m 2014-12-31 Ansvarig nämnd: Kommunstyrelsen Diarienummer: KS 2010/0095 IT-strategi

Läs mer

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet RIKTLINJER Riktlinjer för styrning av IT-verksamhet RIKTLINJER 2 Riktlinjer för styrning av IT-verksamhet. 1 Inledning Håbo kommuns övergripande styrdokument inom IT är IT-policy för Håbo kommun. Riktlinjer

Läs mer

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6)

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni 2011. Erik Norman 1(6) Internt penetrationstest Tierps kommun Revisionsrapport Juni 2011 Erik Norman 1(6) Innehållsförteckning 1. Sammanfattning... 3 1.1. Bakgrund... 3 1.2. Revisionsfråga... 3 2. Angreppssätt... 4 2.1. Omfattning

Läs mer

1 (5) Kollektivtrafikmyndigheten Dokumentnamn Skapat datum Diarienummer Delårsrapport januari-april 2013 Fastställd av Handläggare Gäller fr o m Dok.nr. Version Kollektivtrafiknämnden Stefan Öhlander Delårsrapport

Läs mer

Foto: Anna Molander, Tymon Hardian Pigon, Sune Fridell. Månadsrapport. För beslut i landstingsstyrelsen

Foto: Anna Molander, Tymon Hardian Pigon, Sune Fridell. Månadsrapport. För beslut i landstingsstyrelsen Foto: Anna Molander, Tymon Hardian Pigon, Sune Fridell Månadsrapport Februari För beslut i landstingsstyrelsen -05-05 2 (8) Perioden januari februari i korthet Resultatet för perioden uppgår till 407 miljoner

Läs mer

SOLLENTUNA FÖRFATTNINGSSAMLING 1

SOLLENTUNA FÖRFATTNINGSSAMLING 1 FÖRFATTNINGSSAMLING 1 IT-STRATEGI FÖR SOLLENTUNA KOMMUN Antagen av fullmäktige 2003-09-15, 109 Inledning Informationstekniken har utvecklats till en världsomspännande teknik som omfattar datorer, telefoni,

Läs mer

Månadsrapport november 2013

Månadsrapport november 2013 Månadsrapport november Ekonomiskt resultat -11-30 140,5 mkr Resultatanalys Det ekonomiska resultatet i månadsbokslutet uppgår till 140,5 mkr. I resultatet ingår följande jämförelsestörande poster förändrad

Läs mer

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse.

Läs mer

System- och objektförvaltning - roller

System- och objektförvaltning - roller System- och objektförvaltning - roller Landstingsdirektörens stab Version A 2010-01-25 Innehållsförteckning A. Objektförvaltning - roller enligt pm3... 3 Budgetnivå... 4 Beslutsnivå... 5 Roller på operativ

Läs mer

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest Revisionsrapport IT-säkerhet Externt och internt intrångstest Region Halland Kerem Kocaer December 2012 Innehållsförteckning Inledning... 3 Bakgrund... 3 Revisionsfråga... 3 Angreppssätt... 4 Syfte och

Läs mer

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015 Input till IT-risker i internrevisorns riskanalys Daniel Gräntz 20 maj, GRC 2015 Agenda Tillvägagångssätt för att identifiera IT-relaterade risker. Exempel på olika typer av ITrelaterade granskningar.

Läs mer

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom Falkenbergs kommun Valda revisorer Datum 2074-o5-15 KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB Kommunfullmhktige - fdr khnnedom Granskning av lt-verksarnheten pa uppdrag a*v revisorerna

Läs mer

Från arkitektur till IT-styrning

Från arkitektur till IT-styrning Från arkitektur till IT-styrning 29-30 mars 2012 Nebojsa Bjelobrk,IT-strateg Göteborg Energi AB Agenda Problembilden Vem? Hur? Vad? Inköp? Plocka ut? Lägga tillbaka? Bäst före datum? IT-styrning på Göteborg

Läs mer

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Granskning av IT:s nytta ur ett verksamhetsperspektiv Revisionsrapport* Granskning av IT:s nytta ur ett verksamhetsperspektiv Finspångs kommun 15 maj 2009 Matti Leskelä *connectedthinking Innehållsförteckning 1 Bakgrund och syfte...3 2 Metod...3 3 Sammanfattande

Läs mer

Månadsrapport SEPTEMBER

Månadsrapport SEPTEMBER Månadsrapport SEPTEMBER Inledning I Stockholmsregionen bor en femtedel av Sveriges befolkning och antalet invånare i länet beräknas fortsätta att öka med 35 000-40 000 personer årligen. Det är landstingets

Läs mer

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG Underlag 1. Några myndigheters rapportering om informationssäkerhet i årsredovisningen Årsredovisningar år 2009 Läkemedelsverket Ledningssystemet för informationssäkerhet SS-ISO/IEC 27001:2006 är under

Läs mer

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna Beslut: Rektor 2012-01-16 Revidering: - Dnr: DUC 2012/63/10 Gäller fr o m: 2012-01-16 Ersätter: - Relaterade dokument: - Ansvarig

Läs mer

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen

Kamedo. IT-haverier i vården. Johan Carlstedt Socialstyrelsen Kamedo IT-haverier i vården Johan Carlstedt Socialstyrelsen Katastrofmedicinska observatörsstudier Vad är Kamedo? Vad studeras? Hur bedrivs arbetet? Varför den här rapporten? Ökande antal IT-haverier inom

Läs mer

FÖRHINDRA DATORINTRÅNG!

FÖRHINDRA DATORINTRÅNG! FÖRHINDRA DATORINTRÅNG! Vad innebär dessa frågeställningar: Hur görs datorintrång idag Demonstration av datorintrång Erfarenheter från sårbarhetsanalyser och intrångstester Tolkning av rapporter från analyser

Läs mer

Månadsrapport per mars 2015, Koncernfinansiering

Månadsrapport per mars 2015, Koncernfinansiering Stockholms läns landsti ang Landstingsradsberedningen i(d SKRIVELSE 2015-05-20 LS 2015-0569 Landstingsstyrelsen Månadsrapport per mars 2015, Koncernfinansiering Föredragande landstingsråd: Torbjörn Rosdahl

Läs mer

42291-09 Bilaga 1 Uppföljning till departementet 0904.xls Inledning

42291-09 Bilaga 1 Uppföljning till departementet 0904.xls Inledning Tabellerna är i tusental kronor 42291-09 Bilaga 1 Uppföljning till departementet 0904.xls Inledning Innehåll på de olika flikarna: - Uppföljning antal årsarbetare: Innehåller budget för personalkostnader,

Läs mer

Granskning av delårsrapport

Granskning av delårsrapport Revisionsrapport Granskning av delårsrapport 2013 Alvesta kommun Kristina Lindhe Caroline Liljebjörn 10 september 2013 Innehållsförteckning 1 Sammanfattande bedömning 1 2 Inledning 2 2.1 Bakgrund 2 2.2

Läs mer

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun

Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun Revisionsrapport Granskning av upphandlade ramavtal. Härjedalens Kommun 2 November 2012 Innehåll Sammanfattning... 1 1. Inledning... 2 2. Resultat... 3 3. Bedömning och rekommendationer... 5 Sammanfattning

Läs mer

Avbrott i bredbandstelefonitjänst

Avbrott i bredbandstelefonitjänst BESLUT 1(7) Datum Vår referens Aktbilaga 2013-10-17 Dnr: 12-9626 37 Nätsäkerhetsavdelningen Karin Lodin 073-644 56 04 karin.lodin@pts.se Avbrott i bredbandstelefonitjänst Saken Tillsyn enligt 7 kap. 1

Läs mer

Granskning av delårsrapport

Granskning av delårsrapport Revisionsrapport Granskning av delårsrapport 2012 Kalix kommun Conny Erkheikki Auktoriserad revisor Anna Carlénius Revisionskonsult 12 november 2012 Innehållsförteckning 1 Sammanfattande bedömning 1 2.1

Läs mer

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011. Sammanfattning 2012-05-22 32-2011-0688 Revisionsrapport Malmö Högskola 205 06 Malmö Datum Dnr 2012-05-22 32-2011-0688 Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola 2011 Riksrevisionen har som ett led

Läs mer

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet Dnr UFV 2010/424 Riktlinjer för säkerhetsarbetet vid Uppsala universitet Fastställda av Universitetsdirektören 2010-03-31 Innehållsförteckning 1 Inledning 3 2 Ansvar 3 3 Underlåtelse 3 4 Definitioner 3

Läs mer

Organisation för samordning av informationssäkerhet IT (0:1:0)

Organisation för samordning av informationssäkerhet IT (0:1:0) Organisation för samordning av informationssäkerhet IT (0:1:0) Kommunalförbundet ITSAM och dess medlemskommuner Revision: 2013031201 Fastställd: Direktionen 20130926 Dnr: 0036/13 Kommunalförbundet ITSAM,

Läs mer

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013

www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 www.pwc.com/se Västerviks kommun Granskning av IT-verksamheten januari 2013 Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionell bedömning 5. Revisionsfrågor - observationer

Läs mer

Erfarenhet och kunskap från avvikelserapporteringen

Erfarenhet och kunskap från avvikelserapporteringen LANDSTINGET I VÄRMLAND Revisorerna JM/AM 2010-12-23 Rev/10042 Erfarenhet och kunskap från avvikelserapporteringen Rapport 6-10 LANDSTINGET I VÄRMLAND 2010-12-23 2 Erfarenhet och kunskap från avvikelserapporteringen

Läs mer

Förtroendevald revisor i regionens stiftelser

Förtroendevald revisor i regionens stiftelser Förtroendevald revisor i regionens stiftelser Förtroendevald revisors uppgifter i regionens stiftelser Några särskilda arbetsuppgifter för den förtroendevalde revisorn vid granskningen av stiftelser är

Läs mer

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten

PROJEKTRAPPORT NR/7 2013. Ett samlat grepp om IT-verksamheten PROJEKTRAPPORT NR/7 2013 N Ett samlat grepp om IT-verksamheten Vad gör Landstingsrevisorerna? Landstingsrevisorerna granskar den verksamhet som bedrivs av landstingets nämnder och bolagsstyrelser. Revisionsuppdraget

Läs mer

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Systemförvaltnings Modell Ystads Kommun(v.0.8) IT avdelningen Piparegränd 3 271 42 Ystad Systemförvaltnings Modell Ystads Kommun(v.0.8) S.M.Y.K Beskrivningar och hänvisningar till rutiner och riktlinjer som ligger till grund för ett tryggt förvaltande

Läs mer

Region Halland Översiktlig granskning av IT-verksamheten

Region Halland Översiktlig granskning av IT-verksamheten www.pwc.com/se Region Halland Översiktlig granskning av IT-verksamheten Redovisning av väsentliga iakttagelser December 2012 Andreas Crusell Martin Magnusson Innehållsförteckning 1. Bakgrund 2. Revisionsfråga

Läs mer

Periodrapport Maj 2015

Periodrapport Maj 2015 Periodrapport Maj 2015 Ekonomi l Resultat januari maj -20 mnkr (26 mnkr) l Nettokostnadsökning 7,7 % (2,8 %) l Skatter och statsbidrag 4,5 % (5,3 %) l Helårsprognos 170 mnkr (246 mnkr) Omvärldsanalys I

Läs mer

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering 1(5) KS 2011/0014 Svar på revisionsrapport- Granskning av ekonomiadministrativa processer - Effektivitetsgranskning Bakgrund Danderyds förtroendevalda revisorer har uppdragit till PricewaterhouseCoopers

Läs mer

Granskning av Intern kontroll

Granskning av Intern kontroll www.pwc.se Revisionsrapport Lars Wigström Cert. kommunal revisor Granskning av Intern kontroll Vingåkers kommun Innehållsförteckning 1. Sammanfattande bedömning och rekommendationer... 1 2. Inledning...3

Läs mer

Välkommen till enkäten!

Välkommen till enkäten! Sida 1 av 12 Välkommen till enkäten! Enkäten går ut till samtliga statliga myndigheter, oavsett storlek. För att få ett så kvalitativt resultat av uppföljningen som möjligt är varje myndighets svar av

Läs mer

Revisionsrapport Ledningssystemet Stratsys

Revisionsrapport Ledningssystemet Stratsys www.pwc.se Revisionsrapport Ledningssystemet Stratsys Håkan Olsson Cerifierad Kommunal Yrkesrevisor Anna Laurell Lysekils kommun Kommunens arbete med ledning och styrning samt användandet av Stratsys Innehållsförteckning

Läs mer

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1)

Revisionsrapport. Nerikes Brandkår. Granskning av Delårsrapport januari-juli 2013 2013-09-20. Ref Anders Pålhed (1) Revisionsrapport Granskning av Delårsrapport januari-juli 2013 Nerikes Brandkår 2013-09-20 Ref Anders Pålhed (1) Innehållsförteckning Innehållsförteckning... 2 1. Sammanfattning... 3 2. Inledning... 4

Läs mer

Visionen om en Tjänstekatalog

Visionen om en Tjänstekatalog Visionen om en Tjänstekatalog Varför ska vi införa tjänster? Copyright BiTA Service Management/Rolf Norrman 1 IT:s värde för verksamheten tydliggörs i verksamhetens egna termer Organisationens kundfokus

Läs mer

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

www.pwc.se Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc www.pwc.se Revisionsrapport Joanna Hägg Tilda Lindell Granskning av intern kontroll Tierps kommun pwc Innehållsförteckning 1. Sammanfattning och revisionell bedömning... 1 2. Inledning... 2 2.1. Granskningsbakgrund...

Läs mer

Granskning av intern styrning och kontroll vid Statens servicecenter

Granskning av intern styrning och kontroll vid Statens servicecenter 1 Granskning av intern styrning och kontroll vid Statens servicecenter Riksrevisionen har som ett led i den årliga revisionen av Statens Servicecenter granskat den interna styrning och kontroll i myndighetens

Läs mer

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Kommunens revisorer 2013-04-08 GRANSKNING AV INTERNKONTROLLPLANER I HÄRRYDA KOMMUN Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen. Rapporten

Läs mer

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Bilaga 3 till F:203. Säkerhet. Dnr 93-25-09 Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet Bilaga 3 Säkerhet Säkerhet 2 (8) Innehållsförteckning Bilaga 3 Säkerhet 1 Allmänt 3 2 Säkerhet 4 2.1 Administrativa säkerhetskrav 4 2.1.1 Basnivå för informationssäkerhet 4 2.1.2 Uppföljning och kontroll

Läs mer

Journalsystem och informationssäkerhet

Journalsystem och informationssäkerhet Landstingets revisorer Revisionsrapport Januari 2012 Bilaga nr 3a till överläggningar med landstingets revisorer den 19 januari 2012. mer text Journalsystem och informationssäkerhet Delrapport 1 Ledning,

Läs mer

Granskning av delårsrapport, redovisning och intern kontroll 2013

Granskning av delårsrapport, redovisning och intern kontroll 2013 Revisionsrapport Cecilia Axelsson Granskning av delårsrapport, redovisning och intern kontroll 2013 Gästrike Räddningstjänst Innehållsförteckning 1 Sammanfattande bedömning 1 2 Inledning 2 2.1 Delårsrapport

Läs mer

SL Access lägesrapport och förslag till fortsatt utveckling samt projektavslut

SL Access lägesrapport och förslag till fortsatt utveckling samt projektavslut 1 (5) Datum 2011-05-31 Identitet TN 1106-152 Trafiknämnden SL Access lägesrapport och förslag till forts utveckling samt projektavslut Sammanfning SL:s nya biljett- och betalsystem SL Access med biljetter

Läs mer

Examinering i ITIL Foundation

Examinering i ITIL Foundation Examinering i ITIL Foundation Exempelhäfte A, version 5.1 Flervalsfrågor Instruktioner 1. Alla 40 frågorna ska besvaras. 2. Alla svar ska markeras i svarstabellen som följer med. 3. Du har 60 minuter på

Läs mer

Delårsrapport Uppföljningsrapport SEPTEMBER

Delårsrapport Uppföljningsrapport SEPTEMBER Delårsrapport Uppföljningsrapport SEPTEMBER 2014 l Resultat januari september 281 mnkr (-72 mnkr) l Nettokostnadsökning 3,9 % (3,0 %) l Skatter och statsbidrag 6,0 % (2,2 %) l Helårsprognos 250 mnkr (-178

Läs mer

Kommunens ITorganisation

Kommunens ITorganisation Revisionsrapport Kommunens ITorganisation Strömsunds kommun Maj-Britt Åkerström Cert. kommunal revisor Innehållsförteckning 1 Sammanfattning, revisionell bedömning, förslag till utveckling 2 Inledning

Läs mer

Granskning av verksamheten i Lönesamverkan

Granskning av verksamheten i Lönesamverkan Revisionsrapport* Granskning av verksamheten i Lönesamverkan HUL 18 februari 2008 Eva Gustafsson *connectedthinking Innehållsförteckning 1 Bakgrund, revisionsfråga och metod...3 2 Sammanfattning av den

Läs mer

Månadsrapport mars 2015

Månadsrapport mars 2015 Månadsrapport mars Ekonomiskt resultat -03-31 91,1 mkr Resultatanalys Det ekonomiska resultatet i månadsbokslutet till och med mars uppgår till 91,1 miljoner. I resultatet ingår realisationsvinster från

Läs mer

Region Halland Översiktlig granskning av IT-verksamheten

Region Halland Översiktlig granskning av IT-verksamheten www.pwc.se Region Halland Översiktlig granskning av IT-verksamheten Uppföljning av granskningsrapport från 2012 September 2015 Innehållsförteckning 1. Bakgrund till projektet 2. Revisionsfråga och kontrollmål

Läs mer

Granskning av delårsrapport

Granskning av delårsrapport Revisionsrapport* Granskning av delårsrapport Tyresö kommun September 2007 Anders Hägg Frida Enocksson Jonas Eriksson *connectedthinking Innehållsförteckning 1 Sammanfattande bedömning...3 2 Inledning...5

Läs mer

Ledningssystem för IT-tjänster

Ledningssystem för IT-tjänster Styrning och ledning av IT med stöd av internationella standarder Ledningssystem för IT-tjänster sixten.bjorklund@sipit.se 2013-11-05 Sip It AB, Sixten Björklund 1 Kort om Sixten Konsult i eget bolag Ledning

Läs mer

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT ITIL is a registered trade mark of AXELOS Limited. Bakgrund till modellen... 3 Beskrivning av modellen... 4 Modellens uppbyggnad... 5 Faser...

Läs mer

Intern styrning och kontroll. Verksamhetsåret 2009

Intern styrning och kontroll. Verksamhetsåret 2009 Intern styrning och kontroll Verksamhetsåret 2009 ISK-projektet: En oberoende övergripande utvärdering av intern styrning och kontroll (ISK) på Riksbanken, utfördes av Ernst & Young i maj 2009. Utgångspunkt

Läs mer

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ 2006-01-31. Agenda IT governance i praktiken: Styrning och kontroll över ITriskerna med ISO2700X Fredrik Björck Transcendent Group för ADBJ 2006-01-31 Agenda IT governance definierat IT governance i praktiken och infosäk

Läs mer

Svar på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter

Svar på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter 1(5) Datum 2014-05-07 Diarienummer Förslag Till Region Hallands revisorer För kännedom: Hälso- och sjukvårdsstyrelsen på revisionsrapport patientsäkerhetsgranskning av medicintekniska produkter Driftnämnden

Läs mer

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016. IT-strategigruppen 2013-02-18 MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN Roller och ansvar inom utbildningsförvaltningens IT-verksamhet 2013-2016 IT-strategigruppen 2013-02-18 INNEHÅLL FÖRVALTNINGSCHEF... 3 REKTOR/F... 3 IT-STRATEG...

Läs mer

PRAKTISK IT-STYRNING. Sammanfattning. Inledning och definitioner

PRAKTISK IT-STYRNING. Sammanfattning. Inledning och definitioner PRAKTISK IT-STYRNING Sammanfattning Hos många företag och myndigheter ses IT som en ständig källa till problem 1 och svag kundnöjdhet 2. Orsakerna bakom grundar sig ofta på bristande rutiner, ansvar, kompetens

Läs mer

Produktionsplanering

Produktionsplanering www.pwc.se Revisionsrapport Produktionsplanering Anders Larsson Certifierad kommunal revisor Matti Leskelä Region Östergötland 25 februari 2015 Innehållsförteckning 1. Sammanfattning... 1 2. Inledning...

Läs mer

Byta system bli klar i tid och undvik onödiga kostnader

Byta system bli klar i tid och undvik onödiga kostnader Byta system bli klar i tid och undvik onödiga kostnader Registratorskonferens 19 maj 2015 Elisabeth Jarborn Arkivchef och verksamhetsutvecklare, Danderyds kommun På två månader kan ni ha ny teknisk lösning

Läs mer

I Central förvaltning Administrativ enhet

I Central förvaltning Administrativ enhet ., Landstinget II DALARNA I Central förvaltning Administrativ enhet ~llaga LS 117,4 BESLUTSUNDERLAG Landstingsstyrelsen Datum 2013-11-04 Sida 1 (3) Dnr LD13/02242 Uppdnr 652 2013-10-21 Landstingsstyrelsens

Läs mer

Prognosen för 2014 är beräknad till ett underskott på 700 tkr.

Prognosen för 2014 är beräknad till ett underskott på 700 tkr. MÅNADSRAPPORT Driftnämnden Öppen specialiserad vård Hälsa och funktionsstöd November 2014 UPPDRAG FRÅN HÄLSO- OCH SJUKVÅRDSSTYRELSEN Produktion Sammanfattning och analys Produktionen ligger, totalt sett,

Läs mer

Granskning av kontroller i investeringsprocessen. Trosa kommun

Granskning av kontroller i investeringsprocessen. Trosa kommun Revisionsrapport Granskning av kontroller i investeringsprocessen Matti Leskelä Februari 2013 Innehållsförteckning 1 Sammanfattande bedömning 1 2 Vårt uppdrag 2 2.1 Bakgrund 2 2.2 Syfte 2 2.3 Metod 2 3

Läs mer

Revisionsrapport 3 / 2009 Genomförd på uppdrag av revisorerna oktober 2009. Haninge kommun. Granskning av delårsbokslut 2009

Revisionsrapport 3 / 2009 Genomförd på uppdrag av revisorerna oktober 2009. Haninge kommun. Granskning av delårsbokslut 2009 Revisionsrapport 3 / 2009 Genomförd på uppdrag av revisorerna oktober 2009 Haninge kommun Granskning av delårsbokslut 2009 Innehåll 1. Sammanfattning...2 2. Inledning...2 3. Kommunens resultat och balansräkning...2

Läs mer

Dnr2014-00048. Delårsrapport Januari-oktober 2014 Katastrofmedicinskt Centrum 2014-11-25. Bild

Dnr2014-00048. Delårsrapport Januari-oktober 2014 Katastrofmedicinskt Centrum 2014-11-25. Bild Delårsrapport Januari-oktober 2014 Katastrofmedicinskt Centrum Dnr2014-00048 2014-11-25 Bild Innehållsförteckning Produktionsenhetschefens reflektion 1 Fördjupad ekonomisk analys 2 Bilaga 1: Helårsbedömning

Läs mer

bokslutskommuniké 2012

bokslutskommuniké 2012 bokslutskommuniké 2012 Bokslutskommunikéns syfte är att ge en snabb, kortfattad och övergripande bild av 2012 års utfall. Förändringar kan komma att ske gentemot slutligt fastställd årsredovisning. Kommunikén

Läs mer

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case Västerås stad IT-verksamhet i förändring Att använda Best Practice och standards för att få ordning och reda ett verkligt case Västerås s stad har ett starkt behov av att producera ett växande utbud av

Läs mer

Förvaltningsplan för Video- och distansmöte

Förvaltningsplan för Video- och distansmöte Förvaltningsplan för Video- och distansmöte FÖRVALTNINGSPLAN Förvaltningsobjekt Video- och distansmöte Utförare Inera AB Enhetschef/ Tjänsteansvarig Uppdragstagare Bilagor Jessica Nord/ Thord Arbin Johan

Läs mer

samt tandvård. De har även hand om kultur, kollektivtrafik och regional utveckling. Dessa ansvarsområden omfattar en större

samt tandvård. De har även hand om kultur, kollektivtrafik och regional utveckling. Dessa ansvarsområden omfattar en större Månadsrapport Januari 2015 Månadsrapport Juli 2015 Månadsrapport Februari 2015 Månadsrapport Augusti 2015 Månadsrapport Mars 2015 Månadsrapport September 2015 Månadsrapport April 2015 Månadsrapport Oktober

Läs mer

Kvalitetsledning inom Hemvårdsnämnden, uppföljning

Kvalitetsledning inom Hemvårdsnämnden, uppföljning Kvalitetsledning inom Hemvårdsnämnden, uppföljning Halmstads kommun Revisionsrapport Mars 2011 Christel Eriksson certifierad kommunal revisor Innehåll Sammanfattning... 3 Bakgrund, revisionsfrågor och

Läs mer

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun.

Revisionsrapport. Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun. Revisionsrapport Granskning av efterarbetes- och uppföljningsprocessen efter avslutad upphandling inom Båstad Kommun. Januari 2012 Fredrik Andrén, Jur. Kand. Innehåll 1 Sammanfattning... 3 2 Inledning...

Läs mer

2013-03-152013-03-152013-03-15. Bilaga Funktionshyra Vårdval Gynekologi 2013. sida 1 (5) 2013-01-01 FUNKTIONSHYRA. Vårdval Gynekologi

2013-03-152013-03-152013-03-15. Bilaga Funktionshyra Vårdval Gynekologi 2013. sida 1 (5) 2013-01-01 FUNKTIONSHYRA. Vårdval Gynekologi sida 1 (5) FUNKTIONSHYRA Vårdval Gynekologi 2013 sida 2 (5) Detta dokument är en tjänstebeskrivning av funktionshyra för IT inom Landstinget i Uppsala län gällande samordning för IT-funktioner. Dokumentet

Läs mer

Förklarande text till revisionsrapport Sid 1 (5)

Förklarande text till revisionsrapport Sid 1 (5) Förklarande text till revisionsrapport Sid 1 (5) Kravelementen enligt standarden ISO 14001:2004 Kap 4 Krav på miljöledningssystem 4.1 Generella krav Organisationen skall upprätta, dokumentera, införa,

Läs mer

Uppföljning av upphandling svar på revisionsskrivelse

Uppföljning av upphandling svar på revisionsskrivelse 8 april 2014 KS-2014/476.912 1 (7) HANDLÄGGARE Mikael Blomberg 08-535 302 98 mikael.blomberg@huddinge.se Kommunstyrelsen Uppföljning av upphandling svar på revisionsskrivelse Förslag till beslut Kommunstyrelsens

Läs mer