Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster

Transkript

1 Bengt E W Andersson Föredrag vid Dokumentinfos Strategiseminarium, IT i offentlig sektor offentliga e-tjänster, den 19 november 2008, World Trade Center, Stockholm. Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster Sammanfattning Under åren har revisionen genomfört ett tjugotal granskningar med fokus på myndighetsledningarnas styrning av IT. Av särskilt intresse att granska var myndigheternas utveckling av e-förvaltningen. I flera fall konstaterar revisionen att utvecklade IT-/e-tjänster inte uppfyller kriterier på att vara lämpliga, bra, säkra eller förtroendeingivande. En orsak till detta är brister i ledningens interna styrning och kontroll av den IT-baserade verksamhetsutvecklingen och relaterad IT-/informationssäkerhet. Statliga revisionsmyndigheter i andra länder har återkommande uppmärksammat att myndighetsledningar behöver utöva en bättre styrning av IT. Viktiga styrfrågor för ledningen är: o att ledningen är engagerad i och väl förtrogen med styrningen av IT, o att ledningen svarar för att tydliga förutsättningar för styrning finns i organisationen (principer, strategier, ansvar, organisation, processer, stöd, kontroller) o att ledningen får bra kvalitet i beslutsunderlagen om inriktningen av ITstödet, enskilda IT-/e-tjänster och säkerhetsåtgärder o att ledningen säkerställer att IT-projekt och projekt för IT- /informationssäkerhet får realistiska förutsättningar att lyckas (ambition, tid och resurser, kompetens) o att ledningen får fakta om såväl status för IT-stödets utveckling respektive hur säkerhetsåtgärder genomförs, som resultatet och effekterna av investeringarna i förhållande till ledningens mål och krav o att ledningen kontrollerar och agerar för att tillräcklig kunskap, kompetens och erfarenheter av styrning av IT finns på alla nivåer i organisationen (styrelse, ledning, verksamhetsansvariga, projektledare, medarbetare) o att ledningen kontinuerligt förbättrar sin interna styrning och kontroll av IT-stödets utveckling samt IT-/informationssäkerheten. Bengt E W Andersson, Effektivitetsrevisionen vid Riksrevisionen, står själv för de slutsatser och rekommendationer som förs fram i denna PM och under strategiseminariet.

2 1. Fokus på ledningens styrning av IT Den svenska statliga revisionen har åren i ett 20-tal revisionsrapporter redovisat behov av bättre styrning från myndighetsledningar vad gäller: IT-baserad verksamhetsutveckling Utveckling av e-förvaltningen IT-/informationssäkerhet 2. I flera fall är utvecklade IT-/e-tjänster inte lämpliga, bra, säkra eller förtroendeingivande Olika typer av risker och problem som uppmärksammats i granskningarna är: Blir det rätt beslut om IT-stöd? Myndigheter har svårt få fram bra förslag om IT-stöd. Förslagen bereds och testas inte tillräckligt före beslut. Förslag till e-tjänster grundas inte i effektivisering av underliggande informationssystem. Interna lönsamhetskrav håller tillbaka förslag till e-tjänster. I ledningens beslutssituation finns inte alternativa förslag. Styrs utvecklingen av IT-stöd på ett bra sätt? IT-projekt är ofta fristående och inte del av projekt för verksamhetsförändring. Projekt startar utan att realistiska förutsättningar. Ledningens styrning av projekten brister i riskhantering. Istället för att agera på förhand på risker försöker man lösa uppkomna problem i efterhand. Myndigheter har svårt att införa rutiner för att ta till vara erfarenheter från genomförda projekt. Blir det ett bra IT-stöd? Risk för att medborgare utestängs från e-tjänster (digitala klyftan). Risk för att alternativa tjänster (brev, telefon, möten etc.) tas bort. Dålig anpassning av e-tjänster till målgrupper. Ledningen har svårt att mäta och följa upp resultat och effekter av utvecklade IT-tjänster i förhållande till målen med investeringen. Är IT-stödet säkert och förtroendeingivande? Virusattacker slår igenom och får verksamheten att sluta fungera fungerar inte, verksamheten störs ut av spamattacker, Misslyckad uppgradering av e-tjänst leder till att en viktig samhällstjänst stängs i flera veckor

3 Känsliga data i en e-tjänst röjs Dataintegriteten åsidosätts med följd att olovlig ändring av data sker Tjänstens trovärdighet ifrågasätts 3. Bättre styrning ger bättre IT-baserad verksamhetsutveckling Som regel kan risker och problem spåras tillbaks till svagheter i ledningens styrning av IT. Bättre styrning från ledningen behövs för att motverka risken för att vanliga styrproblem med IT-baserad verksamhetsutveckling uppstår. Ledningen bör överväga följande förutsättningar för styrningen: Att ledningen gör sin strategi för verksamhetsutveckling tillräckligt tydligt för att kunna styra arbetet med att initiera förslag till ITstöd. Ledningen bör initiera systematiska genomgångar av verksamheternas processer, benchmarking etc. Att ledningen ställer krav på bättre beredning och kvalitet i beslutsunderlagen och att förslagen på ett tydligt sätt kopplas till tidigare, pågående eller andra beslutade IT-investeringar. Att ledningens beslut om IT-investeringar i större utsträckning inryms i beslut om verksamhetsutvecklingsprojekt. I dessa projekt integreras IT-stödets utveckling med utveckling av förändrade arbetssätt, personal och organisation. Att ledningen följer upp, kontrollerar och styr utvecklingsprojekt mer proaktivt så att risker inte övergår till problem. Ledningen bör svara för att etablerade metoder och modeller för utvecklingsarbetet och dess styrning används konsekvent i projektens alla faser. Att ledningen skapar rutiner för att viktiga erfarenheter och kunskaper från utvecklingen av IT-baserad verksamhetsutveckling tas om hand, analyseras, sprids och kommer till användning. Att ledningen systematiskt utvecklar sin interna styrning och kontroll av IT-baserad verksamhetsutveckling. Styrningen bygger på tydliga regler, fördelning av ansvar, samordnade delprocesser, lämpliga metoder för delprocesser, systematisk dokumentation, uppföljning och förvaltning av delprocesser. 4. Bättre kontroll ger säkrare och mer trovärdiga IT-/e-tjänster Bättre styrning från ledningen krävs för att motverka risken för att vanliga styrproblem med IT-/informationssäkerheten uppstår. Ledningen bör överväga följande förutsättningar för styrningen:

4 Att ledningen är väl insatt i och utövar sitt ansvar och sina uppgifter för styrning av IT. Okunskap och ett för lågt engagemang från ledningens sida hämmar arbetet med IT-/informationssäkerhet i organisationen. Att ledningen har ett helhetsgrepp om säkerhetsarbetet. Delegering av ansvaret för säkerheten för långt ned i organisationen ökar risken för att ledningsperspektivet i säkerhetsarbetet går förlorat. Att ledningens prioriterade beslut om säkerhetsåtgärder bygger på systematiska riskanalyser för verksamheten som helhet. Om riskanalyser saknas finns inte förutsättningar för ledningen för uppföljning av beslutade åtgärder. Att ledningen får faktabaserad uppföljning av hur säkerhetsarbetet genomförs. Utan mått, rutiner för uppföljning och fakta får inte ledningen kunskap om beslutade åtgärder genomförs enligt beslut och vilken status informationssäkerheten håller. Att ledningen säkerställer säkerhetskompetensen i organisationen. Otillräcklig utbildning av styrelse, ledning, chefer och personal ökar risken för felaktiga beslut i säkerhetsfrågor på alla nivåer. Att ledningen får faktabaserad uppföljning av styrningens effektivitet. Utan en systematisk uppföljning av ledningens principer, strategier och organisation för informationssäkerheten kommer ledningen inte att veta om styrningen utgår från rätt förutsättningar, sker på rätt sätt och ger de tänkta effekterna. 5. Revisionens budskap om bättre styrning av IT är globalt Vart tredje år genomför INTOSAI 1 en internationell konferens för revisorer som granskar effektiviteten i den statliga förvaltningens ITstöd. I mars år 2007 genomfördes i Oman en sådan konferens med temat Ledningens styrning av IT. Företrädare för ett 30-tal länders revisionsmyndigheter medverkade i konferensen. De olika ländernas iakttagelser av problem med förvaltningarnas styrning av IT-stödet var påfallande lika. Utöver vad som anges ovan, som bygger iakttagelser från granskningar utförda av den statliga revisionen i Sverige, framkom följande slutsatser om en bättre styrning av IT och relaterad säkerhet. Bättre styrning ger bättre IT-baserad verksamhetsutveckling Styrning av IT är en integrerad del av organisationens samlade interna styrning och kontroll av sin verksamhet så att verksamheten (inkl. IT-stödet) uppfyller externa och interna krav på att vara författningsenlig, ekonomisk och effektiv etc. Samtidigt är IT-styrning även en delverksamhet som omfattar ledningens planering av inriktningen av IT-användningen och under- 1 En internationell organisation för ländernas statliga revisionsmyndigheter.

5 liggande infrastruktur, intern kontroll som består av aktiviteter och mått som används för att avgöra om verksamheten och dess ITanvändning uppfyller fastställda mål och krav, bevis inför externa intressenter att ledningen har verksamheten och IT-användningen under tillräcklig intern styrning och kontroll, användning av extern granskare som kontrollerar om verksamheten uppfyller givna krav. Ledningens styrning av IT bör knytas till eller utgå från verksamhetens mål och utvecklingsstrategi. Värdet av att genomföra ett ITprojekt ska kunna uttryckas i dess bidrag till att uppfylla verksamhetens mål. Ledningen bör särskilt kontrollera IT-projekt, t.ex. med hjälp av Gateway Review Process. Varje IT-projekt kontrolleras fortlöpande vid sex kritiska steg i syfte att få garantier för att projektet på ett säkert sätt kan gå vidare till nästa steg. Verksamhetsansvariga ska ta sitt ansvar för och utöva ITstyrningen. Ett sätt att visa engagemang är att ansvara för rapporter om status i IT-projekten till överordnade (myndighetsledning eller regering). Det finns fortfarande brister i kompetensen i att genomföra ITprojekten. Endast 30 % av IT-projekten är lyckade, 50 % halvlyckade och 20 % misslyckade. Fyra återkommande orsaker till att IT-/e-projekt inte lyckas är dels projektens komplexitet, dels dålig styrning av projektet (project management process), dels dålig kontroll av externa leverantörer av tjänster i projekten, dels låg medverkan av användare och andra intressenter. Ju större och mer komplicerade IT-system som utvecklas, desto större risk för att något allvarligt går fel. Projekten måste delas upp i hanterbara delprojekt. Myndigheterna litar för mycket på IT-konsulter och organisationer för outsourcing. Dessa resurser måste dock styras och kontrolleras på samma sätt som andra resurser. Vidare utvecklas IT-system fortfarande isolerat inom myndigheterna, vilket leder till stora svårigheter att få ITtjänsterna accepterade. Man betonar vikten av att olika intressenter är med i IT-projekten och värderar nyttan med resultatet från projektet. Bättre kontroll ger säkrare och mer trovärdiga IT-/e-tjänster Informationssäkerhet är en ledningsfråga. Informations-/ITsäkerhet kan inte särskiljas från IT-styrningen. De IT-tjänster och IT-system som utvecklas måste uppfylla krav på säkerhet. Det är viktigt för ledningen att kunna lyfta fram värdet av IT- /informationssäkerheten för myndigheten, dess rykte och verksamhet. Värdet skapas genom att skydda datas integritet, säkerställa kontinuitet av verksamheter samt att skydda värdefulla tillgångar. Dessa åtgärder syftar till att skydda medborgare, företag och myndigheter från att skadas till följd av att brister utnyttjade IT-tjänster.

6 Ledningen måste kunna svara på frågorna vad målet är för verksamheten, vilka är verksamhetens risker och hot, vilka är de verksamhetskritiska data, och hur länge myndigheten kan uppfylla mål och krav på verksamheten om dessa kritiska data inte uppdateras. Vidare måste ledningen veta hur svårt det är att återskapa data, om det överhuvudtaget är möjligt. Givet en sådan riskanalys kan myndigheterna bedöma behovet av säkerhetsnivåer. Ledningen kan inte göra antaganden om vilken status informationssäkerheten håller. Informationssäkerhetens status måste kontrolleras och bevis på status samlas in: är beslutade säkerhetsåtgärder införda, är de effektiva, kan detta bevisas. Någon, förmodligen på ledningsnivå, behöver ha ett tydligt mandat att driva säkerhetsfrågorna i organisationen. Informationssäkerhet är ett samspel mellan människor och teknik. Informationssäkerhet kan aldrig bli en teknisk fråga. Informationssäkerheten står och faller med personalens säkerhetsmedvetenhet. 6. Slutsatser viktiga områden för ledningen att uppmärksamma i sin styrning Ledningens styrning av IT för att myndighetens IT-/e-tjänster ska bli lämpliga, bra och säkra är en integrerad del av ledningens interna styrning och kontroll av sin verksamhet. Denna styrning och kontroll syftar till att verksamheten uppfyller externa och interna krav på att vara författningsenlig, ekonomisk, effektiv och säker. Ledningens styrning och kontroll omfattar åtminstone följande fem viktiga komponenter: 1) Att ledningen skapar tillräckliga förutsättningar för arbetet med att utveckla lämpliga, bra och säkra IT-/e-tjänster. Viktiga förutsättningar är ledningens engagemang och förtrogenhet, fördelning av ansvar, lämpliga organisatoriska former/processer, stöd och resurser för att styra utvecklingen av IT-stödet eller arbetet med IT- /informationssäkerheten. Detta engagemang och ledningens syn på betydelsen av intern styrning och kontroll bör delges medarbetarna. Ledningen bör svara för att de mål och krav som ska gälla för styrningen av IT, inklusive relaterade säkerhetsfrågor, är dokumenterade, förmedlade och används av alla berörda inom organisationen. 2) Att ledningen får tillgång till ett bra beslutsunderlag, t.ex. förslag till IT-baserad verksamhetsutveckling eller analyser av hot och risker som rör verksamhetens IT-stöd, för att kunna prioritera beslut om utveckling av bra IT-/e-tjänster eller om åtgärder för att uppfylla krav på att få säkra IT-/e-tjänster. 3) Att ledningen har en faktabaserad styrning, uppföljning och kontroll av att beslutade IT-projekt eller IT-säkerhetsåtgärder genomförs på avsett sätt och ger det tänkta resultatet och effekterna.

7 4) Att ledningen säkerställer att organisationen på alla nivåer i har tillgång till lämpliga kunskaper, kompetenser, erfarenheter och metoder för styrning av IT och relaterade säkerhetsfrågor. 5) Att ledningen kontinuerligt förbättrar sin interna styrning och kontroll av IT-stödet, dess lämplighet, användbarhet och säkerhet. Referenser IntoIT nr 18 år 2003: Better managed investment in IT-based business development. IntoIT nr 26 år 2008: Effective IT Governance: How to Get Good, Secure IT-Services INTOSAI Standing Committee on IT Audit. Performance IT Audit Seminar concerning IT Governance, held in Muscat, Oman, 3 4 March Föredrags-PM från deltagande länders revisionsmyndigheter. Riksrevisionen (RiR 2004:19): Vem styr den elektroniska förvaltningen? Riksrevisionen (RiR 2007:10): Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen Riksrevisionsverket (RRV 2002:30) IT i verksamhetsutvecklingen Bättre styrning av myndigheternas investeringar i IT-baserad verksamhetsutveckling. Riksrevisionsverket (RRV 2003:11): Ett informationssamhälle för alla? Användbarhet och tillgänglighet hos statliga webbplatser.