Övergripande granskning av IT-verksamheten i Bollebygds kommun. Uppföljning hösten 2013

Transkript

1 Övergripande granskning av IT-verksamheten i Bollebygds kommun Uppföljning hösten 2013

2 INNEHÅLLSFÖRTECKNING 1. Inledning Övergripande revisionsfråga Metod Representanter Sammanfattning Detaljerade iakttagelser... 8 Strategi... 8 Leverans Teknologi Personal System och applikationer Prioriteringsskala (2)

3 1. Inledning Under våren 2011 genomförde PwC på uppdrag av kommunrevisorerna i Bollebygds kommun en granskning av IT-verksamheten inom kommunen. Granskningen utfördes genom intervjuer med utvalda personer inom olika delar av Bollebygds kommun under mars Syftet med granskningen var att på en övergripande nivå kartlägga hur IT-verksamheten och IT-styrningen inom kommunen fungerade, för att således identifiera områden med förbättringspotential och eventuella effektiviseringsmöjligheter. Granskningen mynnade ut i ett antal identifierade områden där vi ansåg att Bollebygds kommun kunde förbättra IT-styrningen. Det har nu gått drygt två år sedan rapporten publicerades och revisorerna i Bollebygds kommun har efterfrågat en uppföljning av 2011 års granskning för att se vilka aktiviteter som blev utfallet av rapporten och vart kommunen befinner sig idag. Granskningen innefattar uppföljning av de brister som då identifierades utifrån intervjuer med personer inom olika delar av Bollebygds kommun. Granskningen har utförts av Andreas Crusell och Martin Magnusson, PwC och har resulterat i denna skriftliga rapport som visar vad status är på de brister som identifierades vid granskningen Vi vill även ta tillfället i akt och tacka Bollebygds kommuns ledning och personal, vilka medverkat i granskningen, för ett vänligt bemötande och gott samarbete. 2. Övergripande revisionsfråga Vid denna granskning har huvudfokus varit att granska om Bollebygds kommun vidtagit några åtgärder för de förbättringsområden som identifierades i 2011 års granskning och vart befinner i kommun idag i detta arbete? För att få svar på den övergripande revisionsfrågan gällande vart kommunen befinner sig idag kommer nedan revisionsfrågor belysas mer i detalj: Vilka delprojekt har initierats för att åtgärda de identifierade bristerna inom IT-verksamheten och anses dessa vara väldefinierade och finns resurser avsatta? Har ansvariga personer utsetts för att hantera de identifierade bristerna? Vad är status idag på de tidigare identifierade observationerna? (3)

4 3. Metod Informationsinsamlingen utfördes genom intervjuer med personal inom kommunen samt genomläsning av relevant dokumentation som kommunen har tillhandahållit. Den granskade dokumentationen var främst relaterad till styrande dokument inom IT- och informationssäkerhet. Vid vår uppföljande granskning hösten 2013 har 12 personer intervjuats. Urvalet har varit strategiska IT-personer från kommunledningen samt ett antal representanter från olika förvaltningar och verksamheter inom kommunen. Vid vår uppföljande granskning har fokus under intervjuerna varit på det iakttagelser som identifierades 2011 med fokus på observationerna med prioritet 2 och 3 se s.7. Varje observation identifierad i 2011 års rapport har lagts in i rapporten i kapitel 6 med uppdatering från årets granskning dokumenterad i den högra kolumnen. 4. Representanter Nedanstående representanter inom kommunen har deltagit vid intervjuer. Namn Förvaltning/Enhet Funktion/Roll Maria Rangefil Kommunledning Tf. kommunchef/kanslichef Annelie Fischer Barn & utbildning Förvaltningschef John Henriksson Vård & Omsorg Förvaltningschef Lennart Haglund Samhällsbyggnadskontoret Förvaltningschef Therese Jernberg Kommunkansliet Kommunarkivarie Staffan Lennmalm Barn & Utbildning Samordningsrektor Ulf Gunnarsson Barn & Utbildning Rektor Klas Höglund IT (Bollebygd) IT-samordnare Kent Andersson Personal Personalchef Maria Lunneryd Vård & Omsorg Systemförvaltare Airi Blomroos Personal Systemförvaltare Susanne Glans Ekonomi Kommuncontroller (4)

5 5. Sammanfattning Nedan följer svar på revisionsfrågor enligt projektplan. Vilka delprojekt har initierats för att åtgärda de identifierade bristerna inom IT-verksamheten och anses dessa vara väldefinierade och finns resurser avsatta? Efter PwCs granskning 2011 skapades Bollebygds IT-planeringsgrupp (BIP) som tog fram ett underlag till en IT-strategi men något beslut på planen togs aldrig. Arbetet med själva IT-stratetgin har dock inte återupptagits och det finns ingen på plats i dagsläget. Styrande dokument avseende IT-säkerhetspolicy har tagits fram samt att rutinerna för backuphantering har förbättrats genom flytt av backuprobot. Har ansvariga personer utsetts för att hantera de identifierade bristerna? Det finns en grupp som idag jobbar med att ta fram ett nytt avtal med IT-nämnden (se vidare nedan) som ansvarar för flera av de punkter som identifierades i 2011 års granskning. Vad är status idag på de tidigare identifierade observationerna? Sammanfattningsvis har vi även 2013 identifierat några allvarliga brister i styrningen av IT inom kommunen. Kommunens samarbete med IT-nämnden (där IT-avdelningen Härryda kommun ansvarar för drift av Bollebygds IT-miljö) har fortsatt och fortfarande finns det oklarheter kring det jobb IT-nämnden utför och dess syfte. Avtalet med IT-nämnden håller på att ses över i och med att avtalet går ut den 1 januari 2015 och en arbetsgrupp på ledningsnivå inom Bollebygds kommun är tillsatt för att se över innehållet. PwC anser att det är viktigt att det i det nya avtalet sätts tydliga nyckeltal kring vad IT-nämnden skall leverera till Bollebygds kommun samt att samarbetsformerna med Härryda kommun förtydligas. Tydliga samarbetsformer med IT-nämnden är grundläggande för att framtida gemensamma investeringar i underliggande infrastruktur, service desk, nätverk, säkerhetslösningar som idag driftas av Härryda skall fungera på ett tillfredsställande sätt. Vi noterar även att Bollebygds kommun har sin IT-miljö i källaren på kommunhuset i Bollebygd. Enligt IT-nämnden beror detta på att detta är den bästa lösningen ifall Bollebygds kommun vill avsluta samarbetet med IT-nämnden men vilket även borde innebära ökade kostnader för driften. (5)

6 Vidare saknar Bollebygds kommun fortfarande en IT-strategi vilket försvårar effektiva beslut inom området. Ett utkast till IT-strategi togs fram under 2012 men blev inte fastställd. Ett annat skäl till att IT-strategin ej är på plats är att det fortfarande saknas struktur avseende vem som har mandat att driva och besluta i dessa frågor. Vid våra intervjuer noterar vi att det fortfarande finns otydlighet kring vad som ingår i den leasingkostnad per PC som Bollebygds kommun betalar för till Härryda kommun. Vidare är vår förståelse att arbetet med risk- och sårbarhetsanalys inom IT ej har påbörjats vilken också är en grund för framtagande av avbrottsplan för IT som fortfarande saknas. Positivt är att nya policys kring informationssäkerhet är på plats samt att bandbackuproboten har flyttats ut från kommunhuset i Bollebygd. För detaljer kring observationerna se nedan kapitel 6. (6)

7 Sammanställning av observationer från 2011 års granskning Granskningen 2011 mynnade ut i ett antal detaljerade observationer med tillhörande rekommendationer samt prioritetsförslag (hög, medel och låg). Tabell 1 nedan visar dessa observationer i sammanställd form sorterade i prioritetsordning. Observationer inom en prioritetsklass är dock inte inbördes rangordnade. Ref Observation Område Avsaknad av IT-strategi Strategi Avsaknad av styrande IT-grupp inom Strategi Bollebygds kommun Förbättringspotential avseende IT-nämnden Strategi Krav och mätning av IT-leveransen Leverans Avsaknad av transparens av IT-kostnader Leverans Rutiner för backup Leverans Förbättring av IT-enhetsmöten Strategi Godkännande av IT-investeringar Strategi Avsaknad av riskanalys och avbrottsplan Leverans Avsaknad av teknisk strategi Teknologi Kompetens inom IT-support (runners) kan Personal stärkas Integrering av kommungemensamma system System & Applikationer Programförändring Leverans Avsaknad av systemkarta System & Applikationer (7)

8 6. Detaljerade iakttagelser Strategi Ref Avsaknad av IT-strategi (Business Direction, Business Control of IS, IT-strategy and Policy) Bollebygds kommun saknar uppdaterade styrande dokument för ITverksamheten. IT-strategi saknas och Informationssäkerhetspolicy har inte reviderats sedan Utkast av underliggande dokument till Informationssäkerhetspolicy togs fram 2009 men beslutades ej på och är i dag i behov av uppdatering. De underliggande dokument som togs fram 2009 var Informationssäkerhetsinstruktioner för Förvaltning, Användare och Drift. Utan tydligt ägarskap av strategiska frågor och avsaknad av aktuella styrande dokument ökar risken för att IT inte används på ett ändamålsenligt, säkert och effektivt sätt. Detta kan i sin tur resultera i ett icke optimalt resursutnyttjande samt ökade kostnader Vi rekommenderar att Bollebygds kommun tar fram, förankrar och kommunicerar styrande dokument som anger kommunledningens mål, prioriteringar för användandet av IT inom kommunen. Detta inkluderar IT-strategi, E-strategi och en uppdatering av nuvarande Informationssäkerhetspolicy med tillhörande underliggande dokument. Lämplig tidshorisont kan vara en plan som tydligt beskriver vad som skall göras de nästkommande tre åren. Framtagen policy och strategi bör kommuniceras och följas upp i alla verksamheter. Efter PwCs granskning 2011 skapades Bollebygds IT-planeringsgrupp (BIP) som tog fram ett underlag till en IT-strategi under våren 2012 men något beslut på planen togs aldrig. Ett arbete fortsatte istället med att ta fram en handlingsplan för hur IT generellt ska förbättras inom kommunen där framtagande av IT-strategi var en del. Arbetet med själva IT-strategin har dock inte återupptagits och det finns ingen på plats idag. Informationssäkerhetspolicyn uppdaterades under 2012 och finns tillgänglig på kommunens intranät. Vi rekommenderar att Bollebygds kommun återupptar arbetet med att ta fram en IT- och e-strategi inkluderande handlingsplan. I grunden bör Bollebygd identifiera vart kommunen vill vara om tre-fem år utifrån ett IT-perspektiv. IT-strategin bör tas fram som en del i dialogen kring hur kommunerna (Bollebygd och Härryda) och IT-nämnden skall samverka och prioritera projekt i framtiden. (8)

9 Ref Avsaknad av styrande IT-grupp inom Bollebygds kommun (IT planning, Resourcing and Budgeting) Vid granskningen noterades att Bollebygds kommun saknar en styrgrupp (t ex IT-råd) som skall agera som beslutsfattare och som motpart till ITfunktionen i Härryda inom strategiska IT-frågor. Avsaknaden av denna gruppering leder till otydlighet och osäkerhet i beslut i frågor på längre sikt. Vi rekommenderar att Bollebygds kommun inrättar en gruppering som äger verksamhetens strategiska IT-frågor samt fungerar som kommunens motpart mot IT-funktionen i Härryda med mandat att ta beslut i dessa frågor. I dagsläget är det kommunens ledningsgrupp som äger frågan kring IT och har ansvaret för styrning och prioriteringar av IT. Men precis som vid granskningen 2011 finns det ingen styrgrupp som arbetar specifikt med ITfrågor och tar beslut inom detta område. Baserat på det intervjuer vi genomfört är det vår uppfattning att det fortfarande råder en otydlighet och osäkerhet kring IT-frågan inom kommunen vilket ökar risken för att inga eller felaktiga beslut avseende IT tas. Vi rekommenderar fortsatt att Bollebygds kommun inrättar en gruppering som äger verksamhetens strategiska IT-frågor samt fungerar som kommunens beställare mot IT-nämnden med mandat att ta beslut i dessa frågor. (9)

10 Ref Förbättringspotential avseende IT-nämnden (Business Direction, IT planning, Resourcing and Budgeting) IT-nämnden har funnits sedan 1 januari 2008 och skapades för att finna ett sätt att samarbeta mellan kommunerna inom IT-området. Verksamhetsbeskrivningen finns beskriven i Avtal om samverkan i gemensam IT-nämnd samt att det även finns ett Reglemente för gemensam IT-nämnd. IT-nämnden har sammanträde 2-3 gånger per år. Vi har vid vår granskning noterat att protokoll från dessa sammanträden ej har redovisats i Bollebygds kommun vilket har minskat verksamheternas förståelse för och insynen i IT-nämndens arbete. Detta kan vidare exemplifieras genom protokoll från 23 september 2009 där systemförvaltarrollen enligt protokoll skall prioriteras med stöd och utbildning vilket enligt verksamheten inte har genomförts. Nedan följer hänvisning till olika paragrafer i det gemensamma avtalet: I 3 står det att IT-funktionen skall leverera stöd baserat på verksamhetens krav och behov. Bollebygd har ej ställt några krav på vilken leverans de förväntar sig från IT Härryda (se även Krav och mätning av IT-leveransen). I 8 beskrivs kostnadsmodellen som skall användas vilket skall göras baserat på nyttjandegrad och volym. Verksamheterna har inte på ett tillräckligt sätt informerats om hur kostnadsmodellen ser ut och upplever att IT-nämnden inte är tillräckligt transparent i detta avseende. Det saknas enligt 9 fungerande avrapporteringsrutiner och redovisning för en god löpande insyn. Vi rekommenderar att parterna tillsammans ser över strukturen i dessa möten och hur behov från verksamheten och information från ITH skall förmedlas för att säkerställa att dessa möten blir effektiva och fyller en funktion för båda parter. Mötena blir även mer effektiva om det finns en underliggande strategi för hur de skall använda IT inom respektive verksamhet (se Avsaknad av styrande dokument). Samarbetet med Härryda kommun genom IT-nämnden fortsätter. Det pågår nu ett arbete med att fram ett nytt avtal med IT-nämnden då nuvarande avtal löper ut i januari Det är en avtalsgrupp med kommunchefen, IT-samordnaren, personalchefen, kommuncontrollern, sektorchefen (Härryda) och IT-chefen (Härryda) sitter med. I det nya avtalet ska det enligt respondenterna göras en del förbättringar exempelvis avseende kostnaderna för IT och IT-nämndens roll ska tydliggöras. Det är vår förståelse att det idag fortsatt råder en osäkerhet kring vad syftet med IT-nämnden är, vilka frågor som tas upp, vem och hur som ärenden bereds. Protokoll från IT-nämndens sammanträden skickas numera till kommunchefen i Bollebygd. Vi rekommenderar att Bollebygds kommun förtydligar vad IT-nämndens roll och syfte är och att det i det nya avtalet sätts tydliga mätetal kring den leverans som IT-nämnden skall göra till Bollebygds kommun. Vidare bör samarbetsformerna med IT-nämnden förtydligas och formaliseras exempelvis avseende beslutande forum avseende investeringar och att det finns goda investeringsunderlag som visar nyttoeffekterna för båda kommunerna (Härryda kommun). (10)

11 Ref Förbättring av IT-enhetsmöten (IT planning, Resourcing and Budgeting) Verksamheterna inom kommunen har möten med IT Härryda (ITH) med jämna mellanrum där behov kring IT i kommunen diskuteras. ITH upplevs serviceinriktade och tillmötesgående i dessa möten. Dessa möten verkar generellt fungera tillfredsställande. Dock anser inblandade parter att dessa möten till viss del är ineffektiva då Bollebygd ifrågasätter mötets strategiska inriktning och om det finns en framtida målbild till grund för det som diskuteras. Vidare lyfts frågor från ITH som ingen har mandat att besluta på i detta forum samt att kommunens IT-samordnare ej alltid är kallad till dessa möten. Vi rekommenderar att parterna tillsammans ser över strukturen i dessa möten och hur behov från verksamheten och information från ITH skall förmedlas för att säkerställa att dessa möten blir effektiva och fyller en funktion för båda parter. Mötena blir även mer effektiva om det finns en underliggande strategi för hur de skall använda IT inom respektive verksamhet (se Avsaknad av styrande dokument). Inga verksamheter inom kommunen förutom Barn och utbildningsförvaltningen har idag IT-enhetsmöten med IT-avdelningen i Härryda kommun. ITenhetsmötena har inte ersatts med någon annan typ av möte. Det är vår förståelse att det finns en önskan om att ett forum kring dessa frågor införs. Vi rekommenderar att kommunen ser över behovet av IT-enhetsmöten enligt tidigare struktur och om detta tillför förvaltningarna värde. (11)

12 Ref Godkännande av IT-investeringar (IT planning, Resourcing and Budgeting) Varje verksamhet inom kommunen äger och förvaltar sina egna system. Detta innebär att det är verksamhetens ansvar att initiera de behov av ny funktionalitet eller dylika investeringar de har med IT Härryda. Vi har dock noterat att när det gäller investeringar inom underliggande teknik saknas det ett kommungemensamt forum som bereder förslag och beslutar om den tekniskt strategiska inriktningen till IT-nämnden. Avsaknad av ett sådant forum kan leda till oförståelse, svårighet att påverka de beslut som tas samt att felaktiga beslut tas inom området. Vi rekommenderar att ett kommungemensamt forum införs där strategiska IT frågor diskuteras för att underlätta kommunikationen samt bredda beslutsstödet för de strategiska tekniska investeringar som görs i samarbetet mellan kommunerna. Det är vår förståelse att det fortfarande inte finns något kommungemensamt forum för verksamheterna där kommunerna tillsammans diskuterar de behov kring IT (under IT-nämndens ansvar) som ska presenteras för IT-nämnden. Vi rekommenderar ett kommungemensamt forum införs (se punkt 6.1.2) för att säkerställa att de investeringsförslag som presenteras till IT-nämnden även är anpassade för Bollebygds kommun. (12)

13 Leverans Ref Åtgärdad Roller och ansvar inom IT-organisationen (Roles and Responsibilities, Organization) IT-organisationen för Bollebygds kommun finns sammanfattad i en Informationssäkerhetspolicy. Dock är denna ej uppdaterad avseende roller inom hela IT-organisationen inklusive Härryda, samt är endast till övergripande del formellt beslutad då underliggande styrdokument ej är godkända. Systemförvaltare upplever sin roll, som den är beskriven i ITsäkerhetspolicyn, svår och de förstår inte vad som förväntas i denna roll. Vidare är det viktigt att rollen IT-samordnare förtydligas. Utan en IT-organisation där ansvar och roller är tydligt fördelade ökar risken för att IT-leveransen inte utförs, inte utförs på rätt sätt, i rätt tid eller av rätt person samt att det uppstår förväntningsgap mellan IT och verksamheten Vi rekommenderar kommunen och ITH att se över befintliga ansvar och roller inom IT-organisationen vilket inkluderar förtydligande av ITsamordnarens, systemägarens och systemförvaltarens roll. De olika rollerna inom Bollebygds kommuns IT-organisation står beskrivna i kommunens uppdaterade IT-säkerhetspolicy. Det är även vår förståelse att intervjuade personer inte upplever sin roll som otydlig och de förstår vilka arbetsuppgifter som innefattas i den. (13)

14 Ref Krav och mätning av IT-leveransen (Service delivery, Quality Management, Business Control of IS) Bollebygds kommun har genom IT-nämnden outsourcat sin drift av verksamhetssystemen till IT-avdelningen inom Härryda kommun. Detta medför att kommunen enligt samarbetsavtalet skall ställa krav på ITstödets innehåll och kvalitet. Vi har dock noterat att det saknas mätetal för att följa upp IT Härrydas arbete (leveranser från service desk osv) vilket även leder till otydlighet vad ITH skall leva upp till. Det finns en risk att IT gör fel prioriteringar samt att ITs målbild inte är överensstämmande med verksamhetens förväntningar på IT-leveransen vilket leder till sämre upplevd kvalitet. Kommunen bör ta fram lämpliga nyckeltal som mäter den leverans som kommunen förväntar sig att få från ITH t.ex. avseende ärendehantering, upptider osv. Framtagna nyckeltal bör sedan följas upp för att mäta efterlevnad samt att återkoppling görs till verksamheten. Vid vår granskning har vi noterat att fortfarande saknas nyckeltal och kravställning från Bollebygds kommun avseende IT-leveransen genom ITnämnden. Detta medför att det fortsatt finns en otydlighet kring vad ITnämnden ska leva upp till. Vi rekommenderar fortsatt Bollebygds kommun att ta fram lämpliga nyckeltal som mäter den leverans som kommunen vill ha. Detta bör göras som en del i framtagandet av det nya avtalet med IT-nämnden (se 6.1.3). (14)

15 Ref Avsaknad av transparens av IT-kostnader (Service Delivery, Security) Bollebygds kommun betalar en summa för varje typ av komponent de använder till Härryda kommun. Kostnaden varierar beroende på vilken typ av dator som används (administration, skola osv) och kostnadsmodell bygger på en självfinansieringsmodell (IT-nämnden skall bära sina egna kostnader). I grunden finansieras IT-verksamheten av kostnaden per PC men i vissa fall debiteras t.ex. serverhyra mot verksamheterna. Verksamheterna inom kommunen saknar förståelse avseende hur pengarna förvaltas, vad som ingår och hur de skulle kunna effektivisera och påverka PC-kostnaden för sin verksamhet (vi har noterat att information kring vad som ingår i respektive typ av PC finns noterat på Insidan (kommunens intranät)). Förvaltningar har även IT-relaterade kostnader som inte allokeras via Härryda vilket innebär en otydlighet avseende hur stor kommunens totala IT-kostnad faktiskt är. Utan transparens av IT-kostnaderna finns det risk för missnöje kring utnyttjandet av IT vilket leder till minskat förtroende för IT-verksamheten och användning av IT som möjliggörare i den egna verksamheten. Vi rekommenderar att kommunerna ser över befintlig kostnads- och faktureringsmodell för att säkerställa att den är enligt de krav som verksamheten ställer på IT-funktionen samt att denna kommuniceras så att ansvariga i verksamheterna förstår den. Vidare bör kommunen göra en total sammanställning av IT-kostnaden inom kommunen och ha en modell för att löpande mäta ITkostnader. Det råder fortfarande en otydlighet i flertalet av kommunens verksamheter över vad som ingår i den kostnad som betalas till Härryda kommun för IT samt att det fortfarande finns ett missnöje kring befintlig kostnads- och faktueringsmodell. Vi rekommenderar fortsatt att kommun ser över befintlig kostnadsoch faktureringsmodell för att säkerställa att den är enligt de krav som verksamheten ställer på IT-funktionen. Vidare rekommenderar vi att den kommuniceras på ett sätt att ansvariga i verksamheterna förstår den. Kommunen bör även göra en total sammanställning av IT-kostnaden inom kommunen och ha en modell för att löpande mäta IT-kostnader. (15)

16 Ref Åtgärdad Rutiner för backup (Service Delivery) Vid vår granskning noterade vi att säkerhetskopior av produktionsmiljön förvaras i serverrummet på kommunkontoret. Då backup och produktionsmiljön förvaras i samma serverrum finns därmed en risk att alla säkerhetskopior förstörs t.ex. vid en brand eller explosion. Det finns diskussioner att flytta befintlig backuprobot till Bollegården, dock har detta ej genomförts ännu. Vi rekommenderar en översyn av backuprutiner för att säkerställa att verksamheten kan komma tillbaka i drift efter en katastrof. Som en del av denna rekommendation bör Bollebygd se över möjligheten att förvara backuper i annan byggnad än den byggnad där serverrummet återfinns för att säkerställa åtkomst av affärskritisk information vid ett scenario där kontorslokalerna ej går att tillträda. Backuproboten har flyttats till Bollegården varför punkten anses åtgärdad. (16)

17 Ref Avsaknad av riskanalys och avbrottsplan (Security) Både Härryda och Bollebygd har en datahall där kommunens produktionssystem driftas. Vi har noterat att det saknas en övergripande avbrottsplan för att hantera ett eventuellt stillestånd av kommunens system. Vi har även noterat att arbetet kring risk- och sårbarhetsanalys inom IT har påbörjats av ISS-gruppen (Informationssäkerhetssamordnare). Dock har detta arbete avstannat på grund av att de underliggande dokumenten till Informationssäkerhetspolicyn inte antagits. Brister i riskhantering och kontinuitetsplanering medför att verksamheten kan bli utan kritiska system längre än vad som skulle vara fallet om en implementerad, kommunicerad och testad kontinuitetsplan varit på plats. Vidare har vi noterat att det ej har gjorts någon restore test av de backuper som tagits. Kommunen bör utföra en risk- och sårbarhetsanalys i syfte att identifiera risker i IT-verksamheten. Denna analys kan sedan vara en del i framtagandet av en avbrottsplan för IT och för verksamheten. Avbrottsplanen skall dokumenteras, uppdateras löpande av behörig personal samt även testas löpande för att säkerställa funktionalitet. Som en del i detta arbete bör rutiner för restore test skapas för att säkerställa att det går att återläsa data från backup band. För att effektivisera säkerheten kring dessa rutiner bör planerna skapas utifrån vilka krav verksamheterna har på tillgänglighet. En uppdaterad informationssäkerhetspolicy antogs hösten Dock finns det fortfarande inte en avbrottsplan IT på plats och arbetet med en risk- och sårbarhetsanalys för IT har inte återupptagits. Det är viktigt att ansvaret för riskanalysen och avbrottsplanen fastslås som en del av samarbetet genom ITnämnden. Vi rekommenderar fortsatt kommunen att utföra en risk- och sårbarhetsanalys i syfte att identifiera risker i IT-verksamheten. Denna analys kan sedan vara en del i framtagandet av en avbrottsplan för IT och för verksamheten. Avbrottsplanen skall dokumenteras, uppdateras löpande av behörig personal samt även testas löpande för att säkerställa att avbrottsplanen är uppdaterad. (17)

18 Ref Programförändring (Project Management, Development & Implementation) Under intervjuerna har vi noterat att det ej finns formaliserade och dokumenterade processer rörande ändringshantering. Genom att inte ha någon formell ändringshanteringsrutin för infrastruktur och applikationer ökar risken för felaktiga förändringar i produktionsmiljön som kan påverka kommunens IT-miljö. Vi rekommenderar att kommunen vidareutvecklar dokumentationen och beskrivningen av ändringprocessen. Denna bör innehålla krav på utförande, dokumentation av tester samt godkännanden för olika typer av förändringar. Vidare bör olika typer av förändringar definieras mot bakgrund av förväntad påverkan på verksamheten, samt hur ansvar för test och godkännande fördelas. Vi rekommenderar även att verksamheterna säkerställer att IT kontaktas i samband med större förändringsprojekt. Vi noterar att det fortfarande inte finns några formaliserade och dokumenterade processer rörande ändringshantering. Likt 2011 rekommenderar vi att kommunen vidareutvecklar dokumentationen och beskrivningen av ändringprocessen. Denna bör innehålla krav på utförande, dokumentation av tester samt godkännanden för olika typer av förändringar. Vidare bör olika typer av förändringar definieras mot bakgrund av förväntad påverkan på verksamheten, samt hur ansvar för test och godkännande fördelas. Vi rekommenderar även att verksamheterna säkerställer att IT kontaktas i samband med större förändringsprojekt. (18)

19 Teknologi Ref Avsaknad av teknisk strategi (Direction, Communications Infrastructure) Iakttagelse 2011 Vid vår granskning har vi noterat att kommunen saknar en teknisk strategi vilket även är kopplat till att kommunen saknar en övergripande ITstrategi. Avsaknad av en teknisk strategi för den tekniska utvecklingen inom kommunen har inneburit att investeringar gjorts reaktivt istället för proaktivt, exempelvis i form av eftersatt bredbandskapacitet inom skolan. Vidare har vi även noterat att IT-nämnden investerat stora resurser i att lyfta Bollebygds tekniska plattform till en högre nivå (se även IT-strategi och Godkännande av IT-investeringar). Vi rekommenderar att kommunen i samband med framtagandet av ITstrategin, även inkluderar en strategi för teknisk utveckling. Den tekniska strategin bör tas fram tillsammans med IT Härryda genom den gemensamma IT-nämnden. Det finns ännu ingen teknisk strategi på plats. Se även punkten avseende upprättande av IT-strategi. Vi rekommenderar fortsatt kommunen att i samband med framtagandet av IT-strategin, även inkluderar en strategi för teknisk utveckling. Den tekniska strategin bör tas fram tillsammans med IT Härryda genom den gemensamma IT-nämnden. (19)

20 Personal Ref Kompetens inom IT-support (runners) kan stärkas (IT People) Iakttagelse 2011 Under intervjuerna har det generellt framkommit en mycket positiv bild av hur verksamheten uppfattar servicenivån hos IT-supporten. Vi kunde dock notera att verksamheten inte i alla fall upplever den tekniska kompetensen tillräckligt hög inom ITsupporten (runners) för att på plats hantera problem kommunicerade till IT-supporten. Underliggande orsaker kan vara att verksamheten inte alltid är tydlig avseende vilka problem de har i sin kommunikation med IT-supporten för att de ska kunna skicka rätt kompetens för respektive ärende. Avsaknaden av tillräcklig teknisk kompetens och kommunikation per ärende kan innebära att runners ej kan hjälpa verksamheten med de problem de möter, vilket kan skapa irritation och oförståelse hos verksamheten med följden att servicenivån hos supporten upplevs som bristande. Vi rekommenderar IT Härryda att se över behovet av att utbilda supportpersonal med avsikten att öka den tekniska kompetensen för att på så vis säkerställa att verksamheten kan få det stöd de behöver. Därtill rekommenderar vi även att personal i verksamheten återkopplar till ansvariga inom IT-funktionen vid de fall de är missnöjda med supporten från runners för att de ska kunna få chans att öka kvaliteten i sin leverans. Baserat på våra intervjuer framkommer att kompetensen och stödet från IT-supporten upplevs som bättre än tidigare men att det fortfarande finns förbättringspotential exempelvis när det kommer till mer tekniska frågor samt att återkoppling från IT-support behöver förbättras avseende ärenden som tar lång tid att stänga. Vi rekommenderar fortsatt IT Härryda att se över behovet av att utbilda supportpersonal med avsikten att öka den tekniska kompetensen för att på så vis säkerställa att verksamheten kan få det stöd de behöver. Därtill rekommenderar vi även att personal i verksamheten återkopplar till ansvariga inom IT-funktionen vid de fall de är missnöjda med supporten från runners för att de ska kunna få chans att öka kvaliteten i sin leverans. (20)

21 Ref Varierande IT-mognad bland personal i verksamheten (User People) Iakttagelse 2011 Vi har noterat att den generella IT-mognaden bland personalen inom Bollebygds kommun är blandad. Under intervjuerna har det exempelvis framkommit att personal från verksamheten upplever det svårt att vid IT-enhetsmöten med IT Härryda föra en dialog kring IT-frågor när IT-kunskaperna är begränsade (se även punkt avseende IT-enhetsmöten). Kommunen bör se över hur de kan förbättra den generella IT-mognaden inom kommunen. Detta för att på ett bättre sätt kunna dra nytta av de IT-enhetsmöten som hålls med IT Härryda men framförallt för att kommunens personal skall erhålla en ökad förståelse inom IT-området. Ovanstående rekommendationer bör underlätta det dagliga arbetet för verksamhetens olika systemförvaltare samt förbättra den generella beställarkompetensen bland personalen. Denna punkt har ej diskuterats i denna granskning men ökad kompetens inom IT-området är alltid önskvärt. (21)

22 System och applikationer Ref Integrering av kommungemensamma system (Applications) Iakttagelse 2011 Under vår granskning har vi noterat att synergieffekter och stordriftsfördelar avseende användandet av gemensamma system i ITnämnden, exempelvis e-post och domäner kan förbättras. Vi har dock noterat att stora förbättringar inom området har gjorts och att IT Härryda löpande arbetar med integreringen. Om inte gemensamma system används inom IT-nämnden finns det en risk för ineffektivitet vilket kan leda till att verksamheten och IT missar tillfället att minska sina kostnader. Vi rekommenderar att arbetet med att integrera kommunernas gemensamma system fortlöper och prioriteras för att dessa skall användas på ett mer effektivt sätt. Inget ytterligare arbete har skett gällande integrering av kommungemensamma system men anses också ha låg prioritet utifrån övriga observationer i rapporten. (22)

23 Ref Avsaknad av systemkarta (Applications) Vi har noterat att samtliga system och applikationer inom kommunen finns dokumenterade samt att det även finns definierat vem som är systemförvaltare och systemägare för respektive system. Dock har vi noterat att det saknas en grafisk systemkarta som visar kopplingen mellan system och applikationer. Utan en grafisk systemkarta finns det en risk att ingen har förståelse för hur de olika systemen är integrerade. Vår rekommendation är att kommunen upprättar en grafisk systemöversikt. Denna bör utöver en generell beskrivning av IT-miljön innefatta nätverkskarta, hårdvara, mjukvara samt övrig relevant information som krävs för att få en god förståelse för befintlig struktur. En systemkarta är ännu inte upprättad. Vår rekommendation är fortsatt att kommunen upprättar en grafisk systemöversikt över hur vilka system som föder huvudboken med finansiella transaktioner och på vilket sätt detta görs. (23)

24 Prioriteringsskala Resultatet från granskningen presenteras översiktligt under granskningsområde 1-6. Respektive observation har fått en prioritet enligt skalan Låg, Medel respektive Hög enligt tabellen nedan. slista Hög Medel Låg Hög betyder att åtgärden bör initieras relativt omgående. Det kan vara områden där det föreligger en omedelbar risk för verksamhetsstörningar eller oönskade kostnader. Medel betyder att åtgärd bör genomföras på medellång sikt, t.ex. inom ett år, men där risken för omedelbara verksamhetsstörningar kan anses vara mer begränsad. Låg innebär att området bör bevakas och åtgärd initieras på längre sikt. Detta kan vara områden med en låg risk för verksamhetsstörningar eller där åtgärden kan betraktas som en generell underhållsfråga. Vissa åtgärder tar längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. (24)