Landskrona stad. Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten.

Transkript

1 Granskning av IT - organisationen och dess leverans modell för IT - service till verksamheten Magnus Karmborg Viktor Bergvall Victor Svensson Lena Salomon December 2016

2 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom Innehåll 1. Sammanfattning Uppfyllnadsgrad per kontrollfråga Inledning Bakgrund Syfte och Revisionsfråga Revisionskriterier Kontrollfrågor Avgränsning Metod Iakttagelser, bedömningar och rekommendationer Finns det styrande dokument som beskriver hur IT som service ska levereras till verksamheten? Iakttagelser Bedömning och rekommendationer Är IT-organisationens processer ändamålsenliga för att säkerställa effektivitet och kontroll i leveransen av IT-service? Iakttagelser Bedömning och rekommendationer Är roller och ansvarsområden med tydliga kommunikationsvägar definierade mellan IT-organisationen och verksamheten, för att möta verksamhetens behov i leveransmodellen för IT-service? Iakttagelser Bedömning och rekommendationer Finns det definierade nyckeltal för att utvärdera leveransmodellen av ITservice, är nyckeltal ändamålsenligt formulerade? Iakttagelser Bedömning och rekommendationer Finns det rutiner och arbetssätt för att kontinuerligt utveckla leveransmodellen för IT-service? Iakttagelser Bedömning och rekommendationer Revisionell bedömning December

3 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 1. Sammanfattning På uppdrag av de förtroendevalda revisorerna i har granskat ITorganisationen och dess leveransmodell för IT-service till verksamheten, främst i form av interna riktlinjer och styrdokument. Revisionsfrågorna för granskningen är: Arbetar IT-organisationen i enligt en strukturerad leveransmodell för att leverera IT-service till verksamheten? Finns det riktlinjer och arbetssätt för hur levererade nivåer av IT-service följs upp och kommuniceras till verksamheten som beställare? Efter genomförd granskning är vår bedömning att det finns utrymme för förbättring av IT-organisationens leveransmodell för IT-service. Vår bedömning grundar sig på de brister vi noterat i kontrollmiljön utifrån definierade kontrollfrågor (listas senare i detta avsnitt). Vårt svar på revisionsfrågorna är att IT-organisationen i delvis arbetar enligt en strukturerad leveransmodell för att leverera IT-service till verksamheten, samt att det delvis finns riktlinjer och arbetssätt för hur levererade nivåer av IT-service följs upp och kommuniceras till verksamheten som beställare. Vår bedömning grundar sig framförallt på att; Leveransmodellen för IT har ingen tydlig förankring i en vedertagen IT-strategi vilken bör tydliggöra hur IT ska bidra till att realisera verksamhetsmål. Styrmodellen för IT inom kommunen är inte tydligt definierad i form av roller och ansvar mellan IT och verksamheten. Mötesstruktur och rapporteringsvägar är definierade och finns mellan IT-drift och IT-strategi men de fungerar inte tillfredställande. Kommunikation mellan avdelningarna på Teknik- och serviceförvaltningen och de olika verksamheterna kan ytterligare förstärkas för att minska oplanerade driftstopp kopplat till IT-drift. Verksamhetens faktiska krav på IT i form av servicenivå är inte formellt definierat på tjänstenivå, relevanta nyckeltal för styrning och övervakning av hur servicenivåer levereras är inte definierade. Operationella processer inom IT är inte dokumenterade och övervakas inte via relevanta nyckeltal för operationell effektivitet till grund för kontinuerlig förbättring av serviceleveransen av IT till verksamheten. I samband med den utförda granskningen har det noterats att det pågår ett antal aktiviteter för att formalisera serviceleveransen av IT till verksamheten. Detta tyder på att det trots påpekade förbättringsmöjligheter finns goda förutsättningar för en positiv utveckling av leveransen av IT-service framöver. Iakttagelser från den utförda granskningen kan betraktas som framtida rekommendationer till det pågående arbetet med att förbättra leveransmodellen för IT. December

4 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 1.1. Uppfyllnadsgrad per kontrollfråga Nedan följer en sammanställning över s bedömning av uppfyllnadsgrad per kontrollfråga, för ; Kontrollfråga Fråga 1 Finns det styrande dokument som beskriver hur IT som service ska levereras till verksamheten? Uppfyllnadsgrad Ej uppfyllt Den utförda granskningen har påvisat att det saknas ett antal styrande dokument för att tydliggöra och beskriva hur IT som service ska levereras till verksamheten. Avsaknad av en tydligt definierad styrmodell för IT medför en risk att det inte finns tydliga roller och ansvarsområden kopplat till området vilket försämrar integrationen mellan IT och verksamheten och därmed bidrar till en sämre service leverans. Avsaknad av en tydlig dokumentation av ITtjänster och en förståelse för verksamhetens behov kopplat till varje tjänst, medför en risk att det inte finns någon utgångspunkt för hur IT ska levereras och hur det är möjligt att övervaka utvecklingen av levererade servicenivåer över tiden. Avsaknad av formellt dokumenterade ITprocesser och relevanta nyckeltal för att övervaka den operationella effektiviteten av arbetssätt och rutiner, medför att det inte är möjligt att proaktivt kunna utvärdera hur planerade åtgärder till förbättringar får en påverkan på service leveransen av IT. Fråga 2 Är IT-organisationens processer ändamålsenliga för att säkerställa effektivitet och kontroll i leveransen av IT-service? Delvis uppfyllt Avsaknad av en definierad process för behörighetsadministration för samtliga system och applikationer, inkluderat periodisk uppföljning av behörigheter, medför en risk att tilldelade behörigheter överstiger användares faktiska roll i verksamheten och att tidigare anställda har kvar sina behörigheter på applikationsnivå. Detta kan i sin tur leda till otillåten åtkomst till känslig information och kritiska aktiviteter i system och applikationer. Vidare föreligger risk för onödigt långa driftsstörningar i IT-miljön i händelse av en säkerhetsincident, genom avsaknad av avbrottsplaner. December

5 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom Fråga 3 Är roller och ansvarsområden med tydliga kommunikationsvägar definierade mellan IT-organisationen och verksamheten för att möta verksamhetens behov i leveransmodellen för IT-service? Fråga 4 Finns det definierade nyckeltal för att utvärdera leveransmodellen av IT-service, är nyckeltal ändamålsenligt formulerade? Delvis uppfyllt Det saknas en tydlig styrmodell för IT inom. Att arbeta informellt, och till viss del ostrukturerat, med att fånga upp och analysera verksamhetens behov kopplat till leverans, system och applikationer, medför en risk för att faktisk leverans av IT-service inte motsvarar verksamhetens behov. Vidare innebär arbetssättet en risk för att investeringar i IT inte uppnår sitt fulla verksamhetsvärde då tjänster inte koordineras och kravställs i samförstånd mellan verksamheten och IT. Vidare föreligger en risk att beslut kring leveransen av IT fattas med ofullständigt underlag samt att förvaltningsspecifika beslut fattas utan en kommunövergripande behovsoch riskanalys. Delvis uppfyllt Det saknas nyckeltal för att mäta den interna effektiviteten i operativa IT-processer vilka ITfunktionen arbetar efter Att inte tydligt definiera nyckeltal, samt mäta och följa upp leveransen av IT-service, kopplat till definierade leveransmål, innebär en risk att avtalad service nivå för tjänster inte motsvarar överenskomna nivåer i form av verksamhetens faktiska krav på tjänsten. Vidare föreligger en risk att avtalad leveransnivå skiljer sig från faktisk, då mätning och uppföljning inte genomförs. Fråga 5 Finns det rutiner och arbetssätt för att kontinuerligt utveckla leveransmodellen för IT-service? Delvis uppfyllt Det saknas förutsättningar för att proaktivt och strukturerat arbeta med kontinuerlig förbättring av IT-service Att inte arbeta formellt med att kontinuerligt utveckla leveransen av IT-service medför en risk att nuvarande leveransmodell ej uppfyller verksamhetens behov, samt att framtida behov ej fångas upp i tid för att implementeras i leveransmodellen. December

6 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 2. Inledning 2.1. Bakgrund Granskningen kommer att utvärdera hur IT-organisationens leveransmodell av IT-service till verksamheten är definierad, vilka principer organisationen arbetar efter för att säkerställa kontroll och effektivitet i leveransen av IT-service. Revisorerna bedömer utifrån sin risk och väsentlighetsanalys att det är relevant att granska detta område Syfte och Revisionsfråga Granskningen ska ge svar på följande revisionsfrågor; Arbetar IT-organisationen i enligt en strukturerad leveransmodell för att leverera IT-service till verksamheten? Finns det riktlinjer och arbetssätt för hur levererade nivåer av IT-service följs upp och kommuniceras till verksamheten som beställare? 2.3. Revisionskriterier Arbetar IT-organisationen enligt en definierad leveransmodell, samt finns det ändamålsenliga kontroller för att säkerställa servicenivåer i leveransen av IT-service Kontrollfrågor Finns det styrande dokument som beskriver hur IT som service ska levereras till verksamheten? Är IT-organisationens processer ändamålsenliga för att säkerställa effektivitet och kontroll i leveransen av IT-service? Är roller och ansvarsområden med tydliga kommunikationsvägar definierade mellan IT-organisationen och verksamheten för att möta verksamhetens behov i leveransmodellen för IT-service? Finns det definierade nyckeltal för att utvärdera leveransmodellen av IT-service, är nyckeltal ändamålsenligt formulerade? Finns det rutiner och arbetssätt för att kontinuerligt utveckla leveransmodellen för IT-service? 2.5. Avgränsning Granskningen avgränsas till kommunstyrelsen och samtliga nämnder inom Landskrona stad Metod Inom ramen för uppdraget har genomfört intervjuer med utvalda personer på, analyserat dokumentation i form av styrande dokument, processbeskrivningar och arbetsrutiner. December

7 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom Intervjuer har genomförts med följande personer: IT-driftchef Verksamhetsutvecklare på IT-organisationen IT-strateg Revisionsrapporten har sakgranskats av berörda tjänstemän. December

8 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 3. Iakttagelser, bedömningar och rekommendationer 3.1. Finns det styrande dokument som beskriver hur IT som service ska levereras till verksamheten? Iakttagelser Den utförda granskningen har påvisat att det saknas ett antal styrande dokument för att tydliggöra och beskriva hur IT som service ska levereras till verksamheten. IT-strategi: IT-strategin ger uttryck för hur IT ska användas som strategisk resurs för att bidra till att realisera uppsatta verksamhetsmål. IT-strategin bör ge uttryck för hur leveransmodellen för IT-service är implementerad, för att bidra till att stödja övergripande verksamhetsmål. Styrmodell för IT: Styrmodellen för IT kan definieras i en övergripande ITpolicy vilken syftar till att tydliggöra hur IT ska levereras till verksamheten i form av tjänst. Dokumentet bör även innehålla riktlinjer för hur nivåer av IT-service följs upp med verksamheten som beställare. Det finns ett styrande dokument SLA som är under arbete i vilket tjänster, roller och ansvar, samt mötesstruktur beskrivs, riktlinjer i dokumentet är dock inte implementerade. IT-tjänster och servicenivåer: IT-tjänster inom ramen för leveransmodellen för IT måste definieras. o Servicenivåer för kritiska IT-tjänster, applikationer, databaser och underliggande infrastruktur måste definieras utifrån verksamhetens krav på tillgänglighet och där information lagras, acceptabla nivåer av dataförlust definieras. IT-processer: IT-processer för förändringshantering, incidenthantering samt rutin för administration av behörigheter bör dokumenteras. Relevanta kontroller i form av nyckeltal bör implementeras för att säkerställa intern effektivitet inom ITfunktionen att leverera IT i form av service till verksamheten. Granskningen har påvisat att det pågår ett arbete med att formalisera och paketera leveransen av IT till verksamheten som olika tjänster. Datorarbetsplats och skrivare är exempel på områden där verksamheterna redan idag hyr en tjänst av IT-funktionen. Detta inkluderar en formell beskrivning av respektive tjänst. I linje med detta arbete har även ett utkast till övergripande driftnivåavtal (Operational Level Agreement, OLA) samt servicenivåavtal för respektive tjänst (Service Level Agreement, SLA) skapats. Avsikten är att definiera den servicenivå som verksamheten kan förvänta sig, för respektive tjänst som köps in från IT-organisationen, samt de interna processer som är nödvändiga för att uppnå sagd servicenivå. December

9 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom Bedömning och rekommendationer Leveransmodellen för IT bör ta sin grund från en vedertagen IT-strategi vars innehåll bör vara baserat på kommunens verksamhetsmål. Att arbeta efter en IT-leveransmodell som inte har en tydlig förankring i verksamhetsmål kan innebära en risk att investeringar och servicenivåer kopplat till IT inte levereras med maximal verksamhetsnytta. Avsaknad av en tydligt definierad styrmodell för IT medför en risk att det inte finns tydliga roller och ansvarsområden kopplat till området vilket försämrar integrationen mellan IT och verksamheten och därmed bidrar till en sämre service leverans. Avsaknad av en tydlig dokumentation av IT-tjänster och en förståelse för verksamhetens behov kopplat till varje tjänst, medför en risk att det inte finns någon utgångspunkt för hur IT ska levereras och hur det är möjligt att övervaka utvecklingen av levererade servicenivåer över tiden. Avsaknad av formellt dokumenterade IT-processer och relevanta nyckeltal för att övervaka den operationella effektiviteten av arbetssätt och rutiner, medför att det inte är möjligt att proaktivt kunna utvärdera hur planerade åtgärder till förbättringar får en påverkan på service leveransen av IT. Vi rekommenderar att överväga följande åtgärder; 1) Slutföra påbörjat arbete med att formalisera leveransen av IT till verksamheten, avseende; a) Ta fram en IT-strategi som baseras på verksamhetsmål för Landskrona stad samt förankra hur leveransmodellen för IT ska vara integrerad i strategin. b) Dokumentera och implementera styrmodell för IT inom. Dokumentet bör tydliggöra roller och ansvar som finns både inom ITfunktionen och inom verksamheten, mötesstruktur för att tydliggöra kommunikationsvägar och beslutsform kopplat till leveransmodellen för IT. Dokumentet bör även innehålla riktlinjer för hur nivåer av IT-service följs upp med verksamheten som beställare. c) Paketera leveransen av IT i tjänster, vilka är formellt dokumenterade och antagna. Definiera verksamhetens krav i form av tillgänglighet och vid hantering av information acceptabla nivåer av dataförlust för varje tjänst. Dokumenterade servicenivåer per tjänst utgör grund för monitorering av leveransen av IT-service framåt. Formellt dokumentera och anta servicenivå- och driftnivåavtal, som den övergripande leveransmodellen av IT till verksamheten. d) Dokumentera operationella processer för IT samt relevanta nyckeltal för monitorering av intern effektivitet inom IT-funktionen att leverera IT i form av service till verksamheten. December

10 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 3.2. Är IT-organisationens processer ändamålsenliga för att säkerställa effektivitet och kontroll i leveransen av IT-service? Iakttagelser Programförändringar: Vi har noterat att det finns en dokumenterad process för hantering av förändringar i verksamhetssystem och applikationer. Systemägare i respektive förvaltningar är ansvariga för programförändringar på system- och applikationsnivå. Alla programförändringar skall rapporterats in till ITorganisationen via Microsoft System Center Service Manager (SCSM), för samordning samt analys av påverkan på teknisk infrastruktur. Vi har dock noterat att samtliga programförändringar ej följer denna process, och att det sker programförändringar i system och applikationer, med möjlig påverkan på teknisk infrastruktur, utan IT-organisationens vetskap. Vidare har vi noterat att det förekommer av systemägare anlitade konsulter, med obegränsad tillgång till verksamhetssystem, vilka har utfört obehöriga programförändringar med driftstopp som följd. Behörigheter i nätverk, system och applikationer: Processen för tillägg, förändring samt borttag av behörigheter på nätverksnivå (Windows Active Directory), samt system och applikationer med single sign-on genom Windows Active Directory, administreras av IT-organisationens helpdesk. Behörighetsprocessen initieras via inkomna ärenden från ansvariga på respektive förvaltning, varmed det finns dokumentation och spårbarhet i processen. För resterande system och applikationer administrerar respektive förvaltning själva behörigheter. Det finns inga styrande dokument på kommunövergripande nivå som reglerar behörighetsprocessen. Det kan dock finnas formaliserade processer inom vissa förvaltningar, men dessa är ej styrda från ett kommunövergripande perspektiv utan endast framtagna och implementerade på förvaltningsnivå. Vidare har vi noterat att det inte sker någon formell periodisk genomgång av tilldelade behörigheter i system och applikationer, vilket innebär en risk att kritiska behörigheter kan ligga kvar på en anställd som fått en ny befattning eller avslutat sin anställning. Vi har dock noterat att ett arbete har initierats med att automatisera behörighetsadministrationen på nätverksnivå, genom en koppling till personalsystemet via en fördefinierad rolluppsättning i Microsoft Identity Manager. Detta innebär att nyanställning, förändrad tjänst och avslutad anställning kommer får direkt genomslag i behörigheter i nätverk samt system och applikationer med single sign-on. Administrativa rättigheter: Vi har noterat att det inte finns någon formell process för loggning samt uppföljning av aktiviteter utförda av administratörskonton på såväl applikations-, operativsystems- som databasnivå. Incidenthantering: Det finns en dokumenterad process för incidenthantering. Processen saknar dock tydligt definierade och klassificerade incidenter kopplat till kritiska IT-tjänster. Klassificering av incidenter kopplat till kritiska IT-tjänster December

11 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom samt nivåer av tillgänglighet utgör tydliggör prioritet för incidenten i processen och utgör grunden till att återställa service nivåer så effektivt som möjligt. Vidare har inte granskningen påvisat att det finns en definierade rutin för problem hantering. Rutinen innebär att det finns ett proaktivt arbetssätt kopplat till att utvärdera mönster i rapporterade incidenter, för att möjliggöra eliminering av underliggande orsaker till återkommande incidenter för att kontinuerligt förbättra nivåer av IT-service över tiden. Avbrottshantering: Det saknas en definierad process och plan för hur IT-miljön ska återställas vid händelse av en säkerhetsincident. Vid en allvarligare incident finns en möjlighet att återställa IT-miljön på en alternativ site, rutinen är dock inte formaliserad. Vi har även noterat att IT-organisationen har incidentberedskap dygnet runt via en jourtelefon vilket medför att vid en incident kan IT-personal kontaktas Bedömning och rekommendationer Att genomföra programförändringar utan analys av påverkan på teknisk infrastruktur medför en ökad risk för incidenter, med driftstopp och dataförlust som följd, vilket även kan påverka övriga verksamhetssystem och applikationer. Vidare bör alla programförändringar grunda sig i ett faktiskt verksamhetsbehov för att säkerställa att alla förändringar som implementeras ligger i linje med verksamhetens strategi. Obegränsad tillgång för konsulter i produktionsmiljön för verksamhetssystem och applikationer medför en risk för otillåten åtkomst till känslig information, samt obehöriga programförändringar, med olika typer av incidenter som följd. Avsaknad av en definierad process för behörighetsadministration för samtliga system och applikationer, inkluderat periodisk uppföljning av behörigheter, medför en risk att tilldelade behörigheter överstiger användares faktiska roll i verksamheten och att tidigare anställda har kvar sina behörigheter på applikationsnivå. Detta kan i sin tur leda till otillåten åtkomst till känslig information och kritiska aktiviteter i system och applikationer. Vidare föreligger risk för onödigt långa driftsstörningar i IT-miljön i händelse av en säkerhetsincident, genom avsaknad av avbrottsplaner. Vi rekommenderar att överväga följande åtgärder; 1) Säkerställa att samtliga programförändringar i system och applikationer följer den formella processen, säkerställ att varje ändring grundar sig i ett faktiskt verksamhetsbehov samt att ändringar testas före driftsättning för att öka nivå av IT-service och minska risken för oplanerade avbrott. 2) Öka kontrollen över konsulters tillgång till produktionsmiljön i verksamhetssystem och applikationer. Tillgång bör endast godkännas i samband med beslutade insatser. 3) Förtydliga rutin för incidenthantering med tydlig klassificering av incidenter kopplat till kritiska IT-tjänster för att säkerställa effektiv hantering av kritiska incidenter. December

12 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 4) Förtydliga rutin för problemhantering för att säkerställa proaktiv hantering av återkommande incidenter med syfte att effektivisera eliminering av underliggande problem för återkommande incidenter och därmed öka nivå av IT-service till verksamheten. 5) Formalisera processen för administration av behörigheter i de system och applikationer som hanteras lokalt på förvaltningsnivå. 6) Slutföra arbetet med att automatisera behörighetsadministration på nätverksnivå genom Microsoft Identity Manager. Rolluppsättningen bör genomföras med en riskbaserad analys gällande medarbetares behov av åtkomst till kritiska funktioner och data. Roller bör struktureras så att det finns en uppdelning av arbetsuppgifter inom varje roll utifrån risk Segregation of Duties (SoD). 7) Implementera en rutin för loggning samt uppföljning av kritiska aktiviteter som utförs på såväl system, applikations-, operativsystems- som databasnivå. 8) Ta fram en avbrottsplan och underliggande dokumenterade rutiner (disaster recovery) för att återställa kritiska IT-tjänster. Planen och tillhörande rutiner bör grunda sig på en formellt genomförd IT-riskanalys och ska regelbundet testas och åtminstone årligen utvärderas Är roller och ansvarsområden med tydliga kommunikationsvägar definierade mellan ITorganisationen och verksamheten, för att möta verksamhetens behov i leveransmodellen för ITservice? Iakttagelser Det saknas en tydligt implementerad styrmodell för IT inom. Styrmodellen för IT inom kommunen bör bland annat tydliggöra; Roller och ansvarsområden: Det saknas definierade och implementerade roller och ansvar inom IT-organisationen, för att tillsammans med systemförvaltare analysera och fånga upp verksamhetsbehov, kopplat till system och applikationer. Vi har dock noterat att IT-organisationen har informella kontakter med systemförvaltare, där leveransen av IT, samt framtida behov diskuteras. Vidare har vi noterat att i det service- samt driftnivåavtal som håller på att arbetas fram, är roller och ansvarsområden, samt kommunikationsvägar definierade. Mötesstruktur och kommunikationsvägar: har ett systemförvaltarforum, där förvaltare från respektive förvaltning träffas för att diskutera gemensamma frågeställningar, tillsammans med representanter från ITorganisationen. Möten följer en definierad agenda samt protokollförs. Huvudsakligen avhandlas mer övergripande frågeställningar kring IT inom kommunen. Det höga antalet deltagare gör det svårt att fånga upp och analysera verksamhetsbehov på förvaltnings-, system- och applikationsnivå. December

13 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom Enligt IT-strateg kan kommunikation mellan IT-drift, Teknik- och serviceförvaltningen samt verksamheterna ytterligare förstärkas. Vid tillfälle utförs det servicearbete i fastigheter vilket får negativ påverkan på tillgängligheten i ITdrift för anställda i verksamheten då t.ex. strömmen bryts utan att berörda parter är informerade om den planerade driftstörningen. Kontroller för efterlevnad: Det bör finnas kontroller på plats för att säkerställa efterlevnad av styrmodellen i den operativa verksamheten. Exempel på kontroller kan vara dokumenterade mötesprotokoll, definierade aktivitetslistor för kontinuerlig prioritering och utförande samt nyckeltal kopplat till specifika roller inom styrmodellen Bedömning och rekommendationer Att arbeta informellt, och till viss del ostrukturerat, med att fånga upp och analysera verksamhetens behov kopplat till leverans, system och applikationer, medför en risk för att faktisk leverans av IT-service inte motsvarar verksamhetens behov. Vidare innebär arbetssättet en risk för att investeringar i IT inte uppnår sitt fulla verksamhetsvärde då tjänster inte koordineras och kravställs i samförstånd mellan verksamheten och IT. Vidare föreligger en risk att beslut kring leveransen av IT fattas med ofullständigt underlag samt att förvaltningsspecifika beslut fattas utan en kommunövergripande behovs- och riskanalys. Vi rekommenderar att överväga följande åtgärder; 1) Etablera, i linje med nuvarande systemförvaltarforum för övergripande ITleveransfokus, implementera en formell styrmodell för samarbete mellan ITorganisationen och respektive förvaltning, på system och applikationsnivå. Detta bör innefatta; a) Etablera formella roller och ansvarsområden inom IT-organisationen, med definierat kundansvar gentemot systemförvaltare. Dessa skall arbeta verksamhetsutvecklande tillsammans med förvaltningarna, genom att fånga upp och analysera behov. b) Etablera en kommunövergripande process för behovsprövning av beslut gällande IT, för att analysera och värdera dessa utifrån ett kommunövergripande perspektiv samt med IT-organisationens expertis inom området. Avsikten är att minska risken för felaktiga investeringar och beslut. December

14 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 3.4. Finns det definierade nyckeltal för att utvärdera leveransmodellen av IT-service, är nyckeltal ändamålsenligt formulerade? Iakttagelser Nyckeltal utgör grunden i styrning av IT-service inom en verksamhet. Nyckeltal används primärt för att; mäta levererade service nivåer i förhållande till avtalade servicenivåer, mäta den inre effektiviteten i interna IT-processer och hur de övertiden kontinuerligt förbättras för att förbättra nivåer av IT-service. Nyckeltal servicenivåer kritiska IT-tjänster: Verksamhetens krav på kritiska IT-tjänster för applikationer, databaser och supporterande infrastruktur är inte definierad med utgångspunkt i verksamhetens faktiska krav på tillgänglighet och acceptabla nivåer av data förlust. Nyckeltal servicenivåer för servicetjänster: Som en del av servicenivåavtalet kopplat till de tjänster som levereras av IT-organisationen, finns det definierade nyckeltal för att mäta och utvärdera leveransen. I nuläget inkluderar detta bland annat hantering av incident- samt serviceärenden, såsom leverans av datorarbetsplats och skapande av konto. Allt eftersom leveransen av IT-service paketeras om till olika tjänster kommer dessa åtföljas av servicenivåavtal, tillsammans med definierade nyckeltal. Nyckeltal för operativa IT-processer: Det saknas nyckeltal för att mäta den interna effektiviteten i operativa IT-processer vilka IT-funktionen arbetar efter. Övervakning av nyckeltal kopplat till processer syftar till att optimera arbetsflöden och identifiera och eliminera eventuella problem kopplat till processer med syfte att öka nivå av IT-service till verksamheten. Uppföljning: Återkoppling och uppföljning av nyckeltal sker periodvis från ITorganisationen till förvaltningarna. Utanför den begränsade del av IT-service som idag levereras som tjänster sker återfinns inga formella nyckeltal eller processer för återkoppling och uppföljning tillsammans med förvaltningarna Bedömning och rekommendationer Att inte tydligt definiera nyckeltal, samt mäta och följa upp leveransen av IT-service, kopplat till definierade leveransmål, innebär en risk att avtalad service nivå för tjänster inte motsvarar överenskomna nivåer i form av verksamhetens faktiska krav på tjänsten. Vidare föreligger en risk att avtalad leveransnivå skiljer sig från faktisk, då mätning och uppföljning inte genomförs. Att kontinuerligt mäta och följa upp leveransen av IT-service är även ett viktigt verktyg för att förbättra verksamheten över tid. Vi rekommenderar att överväga följande åtgärder; 1) Definiera verksamhetens faktiska krav kopplat kritiska IT-tjänster samt definiera relevanta nyckeltal till grund för övervakning av avtalade servicenivåer i förhållande till faktisk levererad nivå. December

15 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 2) Definiera relevanta nyckeltal för operativa IT-processer och över tiden övervaka dessa med syfte att effektivisera och förbättra interna rutiner för att leverera ITservice till verksamheten Finns det rutiner och arbetssätt för att kontinuerligt utveckla leveransmodellen för ITservice? Iakttagelser Det saknas förutsättningar för att proaktivt och strukturerat arbeta med kontinuerlig förbättring av IT-service, baserat på; Nyckeltal och styrning: Verksamhetens faktiska krav på IT-tjänster (applikation, databas, infrastruktur) är inte definierade och därmed saknas det förutsättningar för att strukturerat övervaka förbättring av levererad IT-service över tiden. Vidare saknas det relevanta nyckeltal för styrning och övervakning av operativa IT-processer med syfte att över tiden utvärdera om eventuella aktiviteter planerade till förbättringsåtgärder får förväntad effekt på den interna förmågan hos IT-funktionen att leverera IT-service. Till de delar av IT-leveransen som idag rör servicetjänster för medarbetare återfinns rutiner och arbetssätt för kontinuerlig utveckling, främst i form av nyckeltal. Rutiner och arbetssätt: I dagsläget finns det inte en formellt definierad styrmodell för IT och därmed inga formella rutiner och arbetssätt för kontinuerlig utveckling Bedömning och rekommendationer Att inte arbeta formellt med att kontinuerligt utveckla leveransen av IT-service medför en risk att nuvarande leveransmodell ej uppfyller verksamhetens behov, samt att framtida behov ej fångas upp i tid för att implementeras i leveransmodellen. Vi rekommenderar att överväga följande åtgärd; 1) I samband med utvecklingen av en formell leveransmodell av IT-service, i form av tjänster kopplat till service- och driftnivåavtal, skall en formell process för kontinuerlig utveckling av modellen etableras. Processen bör innefatta utvärdering av leveransmodellen, kopplat till nuvarande verksamhetsbehov, samt analys av framtida behov. Förslagsvis kan detta arbete utföras detta inom ramen för nuvarande systemförvaltarforum, eller liknande. December

16 Granskning av IT-organisationen och dess leveransmodell för IT-service till verksamheten inom 4. Revisionell bedömning Revisionsfrågorna för granskningen är: Arbetar IT-organisationen i enligt en strukturerad leveransmodell för att leverera IT-service till verksamheten? Finns det riktlinjer och arbetssätt för hur levererade nivåer av IT-service följs upp och kommuniceras till verksamheten som beställare? Efter genomförd granskning är vår bedömning att det finns utrymme för förbättring av IT-organisationens leveransmodell för IT-service. Vårt svar på revisionsfrågorna är att IT-organisationen i delvis arbetar enligt en strukturerad leveransmodell för att leverera IT-service till verksamheten, samt att det delvis finns riktlinjer och arbetssätt för hur levererade nivåer av IT-service följs upp och kommuniceras till verksamheten som beställare. För redogörelse av vår detaljerade bedömning av uppfyllnadsgraden per kontrollmål, se avsnitt 1.1. I samband med den utförda granskningen har det noterats att det pågår ett antal aktiviteter för att formalisera serviceleveransen av IT till verksamheten. Detta tyder på att det trots påpekade förbättringsmöjligheter finns goda förutsättningar för en positiv utveckling av leveransen av IT-service framöver. Iakttagelser från den utförda granskningen kan betraktas som framtida rekommendationer till det pågående arbetet med att förbättra leveransmodellen för IT. Uppdragsledare Lena Salomon Projektledare Magnus Karmborg December