Hallstahammars kommun

Transkript

1 Revisorerna REVISIONSRAPPORT Granskning av Kommunens IT-hantering Hallstahammars kommun Utarbetad av Komrev inom Öhrlings PricewaterhouseCoopers på uppdrag av kommunens revisorer och antagen vid revisorernas sammanträde Granskningen har utförts av Göran Persson Lingman och Thomas Lidgren under augusti Postadress Besöksadress Telefon Fax Org.nr Bankgiro Postgiro KOMMUNHUSET Prästgårdsgatan HALLSTAHAMMAR

2 Innehållsförteckning 1 Sammanfattande bedömning och rekomendationer Inledning Bakgrund Syfte Revisionsmetod och avgränsning Granskningsresultat Är roller och ansvar avseende IT-hanteringen tydlig? Finns det dokumenterade strategier kring kommunens IT-hantering samt finns andra styrande dokument och riktlinjer? Finns tillräckliga datorer, kommunikationsutrustning och annan teknik som säkerställer en stabil driftsmiljö? Sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur och IT-avdelningens leveranser fungerar tillfredsställande? Sker uppföljning och finns kontroll avseende IT-relaterade kostnader? Finns tillfredställande rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare? Finns tillfredställande rutiner för installation och underhåll av gemensam programvara i användarens dator? Finns tillfredsställande rutiner för inköp av teknisk utrustning?...20 Bilaga 1 Bild som visar roller och ansvar kopplat till granskningsobjekt 2

3 1 Sammanfattande bedömning och rekommendationer Flera av de kontroller vi utfört har varit positiva. Vi har i denna översiktliga granskning funnit ett flertal viktiga förbättringsområden. Samtidigt kan vi konstatera att det inom flera av de områden som vi bedömt vara otillfredsställande pågår ett förbättringsarbete. Områden som vi uppmärksammat och där det finns ett förbättringsbehov sammanfattas i nedanstående punkter: Vår bedömning är att roller och ansvar inom IT i kommunen inte är tillräckligt tydliggjorda. Detta orsakar problem för verksamheterna. Vi konstaterar här att det pågår ett förbättringsarbete genom införande av en ny IT-funktion och utveckling av en förvaltningsmodell. Förvaltningsmodellen bör öka stödet till kommunikation mellan IT-funktionen och verksamheten kring gemensamma frågor. Roller och ansvar kommer att tydliggöras. Vi bedömer att IT-säkerhetsansvaret inte är tillräckligt tydliggjort. Hur ska arbetet bedrivas avseende information och uppföljning inom nämnderna. Vad vill nämnder ha svar på och på vilket sätt ska rapporteringen ske. Det är viktigt att tydliggöra ansvarsfördelningen mellan förvaltningarna (systemägare, systemförvaltare) och den nya IT-funktionen. I anslutning till detta är det viktigt att de uppgifter som bör ligga inom olika roller tydliggörs. Här konstaterar vi att förbättringar redan pågår. Systemsäkerhetsanalyser bör göras för verksamhetskritiska system. Detta är angeläget inte bara för informationssäkerheten utan också för att tydliggöra ansvar och befogenheter för dessa system. Vi konstaterar att det inom kommunen finns många bra dokumentet som stödjer användning och utveckling. Dock är vissa av dokumenten i behov av revidering. Det är viktigt med information om hur och på vilket sätt ansvariga och användare ska använda dokumentationen. Detta bör vara ett inslag i utbildningsaktiviteter. Vilka dokument är viktiga för olika målgrupper samt var och hur användare och ansvariga finner den aktuella dokumentationen. Vi konstaterar att det pågår ett förbättringsarbete avseende kommunens infrastruktur, vilket är positivt. Här är det viktigt att de planerade förbättringsarbetena för säkrare och stabilare kommunikation genomförs som planerat. Det är även angeläget att de störningar som angetts från användarna följs upp ytterligare inom nämnderna och att det sker en dokumenterad bild av nuläget, t ex vilka störningar som finns i nuläget, orsaken och vilka konsekvenser störningar ger samt vilka åtgärder som ska genomföras.. 3

4 Kommunens totala kostnadsuppföljning avseende IT bör ses över samt att styrelse och nämnder säkerställer att de har en tydlig bild över samtliga IT-kostnader. Ett förslag till förbättring kan vara att systemen tilldelas olika nummer som används i någon av kommunens koddelar. Vi föreslår även att styrelse och nämnder kontinuerligt får redovisat vilka resurser som läggs av olika befattningshavare i arbetet kring system och IT-relaterade frågor (t ex systemförvaltning). Vi bedömer kommunens hantering av incidenter och problem för närvarande som otillfredsställande. Idag förekommer störningar i för hög grad. Vi konstaterar dock att det skett stora förändringar genom nya IT-funktionen och där processer ännu inte är helt införda. Användarna kan idag vända sig till olika ansvariga för att få hjälp och support. Det är viktigt att säkerställa en helhetsbild av de problem och frågeställningar som förekommer samt att åtgärda och förebygga. Detta ska utgöra underlag för resurstilldelning. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D v s vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i system och andra program samt inom andra väsentliga ITområden (t ex IT-säkerhet). Därefter bör generella utbildningsprogram framtas som bör vara obligatoriska. 4

5 2 Inledning 2.1 Bakgrund Ett fungerande IT-stöd är av stor betydelse i den kommunala verksamheten. Den moderna informationsteknologin ger möjligheter att höja kvalité, säkerhet och effektivitet i de olika verksamheterna, sprida och öka tillgängligheten till information m m. IT är idag en förutsättning för att verksamheten skall fungera på ett effektivt och säkert sätt. Nyttjandet av IT-stöd påverkas av en mängd olika faktorer, t ex infrastruktur, IT avdelningens förmåga, systemkvalitet, processer, rutiner, ansvar och kompetens. 2.2 Syfte Revisionsfråga: Hanteras IT på ett sätt som ger förutsättningar för en effektiv och säker verksamhet? Följande kontrollmål/granskningsmål ingår i granskningen: Är roller och ansvar avseende IT-hanteringen tydlig? Finns det dokumenterade strategier kring kommunens IT-hantering samt finns andra styrande dokument och riktlinjer? Finns tillräckliga datorer, kommunikationsutrustning och annan teknik som säkerställer en stabil driftsmiljö? Sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur och IT-avdelningens leveranser fungerar tillfredsställande? Sker uppföljning och finns kontroll avseende IT-relaterade kostnader? Finns tillfredställande rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare? Finns tillfredställande rutiner för installation och underhåll av gemensam programvara i användarens dator? Finns tillfredsställande rutiner för inköp av teknisk utrustning? 5

6 Underlag från användarformulär kan komma att delges ansvariga för ytterligare analys och eventuella förbättringsåtgärder. 2.3 Revisionsmetod och avgränsning Vi tagit del av relevanta dokument samt intervjuat IT-ansvariga i kommunen samt förvaltningschefer och systemansvariga på social-, tekniska och skolförvaltningen. Vi har även tagit del av en tidigare granskning kring IT-säkerhet (2007). Användare inom kommunen har besvarat frågor dels rörande kommunens IT i allmänhet och dels frågor som berör de IT-system som de använder mest. 220 användare besvarade vårt formulär. Granskningen har avgränsats till de kontrollpunkter som redovisas under avsnitt 3, Granskningsresultat. I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen (övergripande ansvar för IT inom kommunen). Dock berörs till delar kommunens samtliga nämnder inom kommunen då de har ett ansvar för effektivitet och säkerheten inom nämndens område. Se figur avseende roller och ansvar i bilaga 1. Vissa av de kommentarer som angetts kan komma att överlämnas till IT-chefen för vidare analys. 3 Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen och våra bedömningar, kommentarer och i vissa fall förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. Kommunens drift och IT-servicedeskfunktion kring det administrativa nätet sköts i huvudsak av annan leverantör (ett samarbete med annan kommun). vilken kommer att benämnas ITleverantören i rapporten. På kommunens IT-enhet finns IT-chef och två IT-tekniker).ITchefen ansvarar för IT-plattformen samt system och applikationer som samtliga användare använder. IT-chefen har även till uppgift att vara kommunens beställare av IT-leverantörens tjänster. 6

7 En It-tekniker arbetar idag enbart med installation och support kring skoldatanätet. En resurs från kommunens växel används även för IT-uppgifter mot skolan. Kanslichefen är ytterst ansvarig för IT-enheten. I rapporten nedan benämner vi den egna personalen som IT-enheten. Ibland benämner vi ITenheten och IT-leverantören som IT-funktionen. IT-funktionen ska ses som verksamhetens (nämndernas) leverantör av övergripande IT-tjänster (t ex leverera en säker och störningsfri infrastruktur samt vara ett nav då användare rapporterar störningar eller behöver hjälp). Vid vissa frågor visas en graf över användarsvar. Användarna svarade hur väl ett påstående stämmer. Nedan visas hur de olika färgerna ska tolkas. Värden till vänster innebär inte alls och till viss del. Värden till höger innebär i huvudsak eller helt. 3.1 Är roller och ansvar avseende IT-hanteringen tydlig? Iakttagelser Inom kommunen finns en dokumenterad IT-strategi från I strategin finns intaget avsnitt kring roller och ansvar. Det finns en bilaga i IT-strategin som beskriver systemansvariges uppgifter. Det finns befattningsbeskrivning som beskriver IT-enhetens och IT-chefens roll och ansvar. Dokumentet är inte aktuellt och i behov av revidering. Vi har även tagit del av andra dokument som berör IT. Dessa redovisas under avsnitt 3.2. I avvaktan på att samverkansformer med den nya IT-leverantören har etablerats så avvaktas framtagandet av ny IT-strategi. De dokument som finns kring roller och ansvar upplevs av intervjuade förvaltningschefer inte vara tillräckligt införda. Förvaltningscheferna kan inte hänvisa till något dokument som beskriver IT-funktionens ansvar (IT-enhetens och IT-leverantörens). Förvaltningschefer ser även ett behov av att tydliggöra systemägarrollen och systemförvaltarrollen inom nämnderna. Det framkom även ett behov av att vara mer aktiva i sin roll som systemägare och behov av mer resurser för att säkerställa att systemen fungerar i verksamheten. 7

8 Den nya IT-leverantören arbetar enligt en dokumenterad processorienterad praxis kring effektiv IT-verksamhet (ITIL 1 ). Det uppges dock att det kommer att krävas en inkörsperiod innan arbetsformer etablerats och införts. Ett arbete med en enhetlig systemförvaltningsmodell PM3 2 (affärsmässig förvaltningsstyrning) har påbörjats inom kommunen. Målet med förvaltningsmodellen är att förbättra arbetet med systemförvaltningen, bl a genom att tydliggöra roller och gränser mellan IT-funktionen och verksamheterna. Det finns inget speciellt forum inom kommunen för att diskutera IT-frågor (t ex IT-råd). ITfrågor diskuteras dock inom Ledningsgruppen för Konsult och Service samt i kommunledningsgruppen). Kanslichefen finns representerad i kommunledningsgruppen. Två aktiva grupper finns där verksamhetsfrågor och IT diskuteras. (En Procapitasystemgrupp och en Skoladatagrupp). Vid behov deltar även personal från IT-enheten i Procapitagruppen. Skoldatagruppen leds av IT-chefen och där finns alltid en tekniker med från IT. Från IT-enheten uttrycks att de är tillräckligt delaktiga i förändringar som berör ITinfrastrukturen, t ex när något nytt system skall upphandlas är IT-enheten delaktig i processen. Dock anges att vissa förvaltningar är väldigt tydliga med vilka krav som finns på ITenheten men vissa har svårt att beskriva de krav man har. Ett dokument som tydliggör den nya IT-leverantörens åtaganden mot kommunen generellt finns upprättat (SLA 3 ). I dokumentet finns beskrivet olika servicenivåer. Det är planerat att efterhand skapa förbättrade avtal (SLA) utifrån respektive verksamhets (nämnds) krav och behov. En av de intervjuade systemförvaltarna uppger att rollen mellan IT-avdelningen och verksamheten behöver tydliggöras, framför allt var ansvarsgränsen går vad avser problemlösning. Även rollen som systemförvaltare skulle behöva tydliggöras, t ex i samspelet mellan system- 1 1 ITIL the IT Infrastructure Library. Ett ramverk kring hur en IT-avdelning kan arbeta för att bl a upprätthålla en tillförlitlig infrastruktur och ge god service till verksamheten. 2 PM3 modellen. Modellen kan jämföras med ett projekt där projektorganisationen arbetar mot ett gemensamt mål. 3 3 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse på de tjänster och krav på kvalité på utförda tjänster. Vad ska IT-verksamheten leverera till den verksamhet som bedrivs inom nämnderna. 8

9 förvaltare och systemägare. IT-avdelningens leveranser diskuteras inte i något formaliserat forum. Dokument (systemsäkerhetsanalyser, systemsäkerhetsplaner) som beskriver roller och säkerhetsfrågor i de mest verksamhetskritiska systemen saknas. Från IT-enheten har vikten av att det tas fram systemsäkerhetsplaner inom nämnderna påtalats men detta är inte genomfört. Det är dock planerat att ta fram systemsäkerhetsplaner i samband med PM3-projektet. IT-enheten har genomfört olika typer av uppföljningar kring IT-säkerhetsrelaterade frågor. T ex har intrångstester skett. Det anges dock att ansvaret för att arbeta med IT/informationssäkerhet behöver tydliggöras inom nämnderna. Generell informationssäkerhetsansvarig finns inte inom kommunen. Frågor ställdes till användare via ett webbaserat formulär. Nedan visas svar kring roller och ansvar. Svaren varierar där många användare upplever en tydlighet men där även många användare uppger att roller och ansvar för IT är otydliga. Vissa användare anger även att otydligheter ger oönskade konsekvenser, såsom att onödig tid går åt för att hitta rätt ansvarig, vilket leder till att problem inte åtgärdas tillräckligt snabbt. Flera anger att det finns en otydlighet kring den nya IT-funktionens roll. Tydlig vart vända sig med förbättringsförslag Tydlighet vart vända sig kring hjälp med viktigt system Tydlighet vända sig vid behov av hjälp allmänt Tydlighet kring roller och ansvar inom kommunen % -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% I rapporten förekommer även iakttagelser under andra punkter som påverkas av roller och ansvar. Kommentarer och rekommendationer: Vår bedömning är att tydligheten kring roller och ansvar inom IT i kommunen inte är tillräckligt tydliggjorda. Detta orsakar problem för nämndernas verksamheter. Vi konstaterar att det pågår ett förbättringsarbete inom kommunen. T ex via en ny ITfunktion och utveckling av en förbättrad förvaltningsmodell, vilket är positivt. Förvalt- 9

10 ningsmodellen bör komma att stödja ökad kommunikation mellan IT-funktionen och verksamheten kring gemensamma frågor. Roller och ansvar kommer också att tydliggöras. Problem kan förklaras med att den nya IT-leverantörens processer inte är tillräckligt införda. Det är här viktigt att ansvariga på olika nivåer medverkar till att genomföra de förändringar som krävs. Vi bedömer att IT-säkerhetsansvaret inte är tillräckligt tydliggjort. (T ex ansvarig, frågor kring resurser, befogenheter. Hur ska arbetet bedrivas avseende information och uppföljning inom nämnderna. Vad vill nämnder ha svar på och på vilket sätt ska rapporteringen ske.) Det är viktigt att tydliggöra ansvarsfördelningen mellan förvaltningarna (systemägare, systemförvaltare) och den nya IT-funktionen. I anslutning till detta är det viktigt att de uppgifter som bör ligga inom olika roller tydliggörs. Här konstaterar vi att förbättringar redan pågår. Vi föreslår att systemsäkerhetsanalyser tas fram för verksamhetskritiska system. Detta är viktigt för informationssäkerhet, roller och ansvar. 3.2 Finns det dokumenterade strategier kring kommunens IT-hantering samt finns andra styrande dokument och riktlinjer? Iakttagelser De dokument vi tagit del av är: Riktlinjer för IT-användare i Hallstahammars kommun. Dokument som anger riktlinjer och regler för samtliga användare av datorer och nätverk inom kommunen. Överenskommelse IT-tjänster, Hallstahammars kommun ( ). Överenskommelse om volymer och priser, allmänna villkor och särskilda tillägg. Hallstahammar uppdrar åt annan kommun att för Hallstahammars räkning leverera IT-tjänster enligt beskrivning i överenskommelsen. Nya IT-funktionen blir huvudansvarig driftspartner och tar ett helhetsansvar för att leverera IT-tjänster enligt gällande specifikation. Konsult & Service får ett övergripande ansvar för samordning och integration av tjänsterna inom överenskommelsen. Förvaltning av objektet Socialt stöd och omsorg för tiden Förvaltningsplan som har till syfte att klargöra hur förvaltningsarbetet ska bedrivas och styras avseende objektet Socialt stöd och omsorg. Dokumentet ska anpassas till att gälla Hallstahammars kommun. 10

11 Förvaltningsplan för Personalsystemet (2008). Förvaltningsplan som klargör hur förvaltningsarbetet ska bedrivas och styras. Målgrupp för dokumentet är i första hand förvaltningsorganisationen och de ansvarsroller som identifierats för Personalobjektet. Dokumentet ska anpassas till att gälla Hallstahammars kommun. Bemanning av förvaltningsorganisationer enligt PM3 modellen. Anger utifrån funktionerna personal, ekonomi, intranätet, pluggnet, skola, socialt stöd och omsorg samt ärendehantering, vem som är objektägare, objektansvarig IT-systemägare och ITsystemansvarig. Begreppsmodell kring PM3. IT-strategi Hallstahammars kommun (1999). Informationsteknologi IT i Hallstahammars kommun, Vision, mål och strategi Dokument framtaget med syftet att framtida utveckling och investeringar ska bli så ändamålsenliga och kostnadseffektiva som möjligt samt svara upp mot de verksamhetskrav som ställs. Därför behövs en gemensam, samlad bild över hur utvecklingen ska bedrivas framöver. Det krävs bl.a. för att investera i rätt teknik, standardisera hård- och mjukvara, integration av system och kommunikation. Det ska medföra en optimal användning av kommunens IT-struktur. Investeringar gjorda IT-säkerhetspolicy Systemansvariga. Redovisning över tänkbara arbetsuppgifter som hör till den systemansvariga. Handlingsplan för Övrigt Rapport, sårbarhetsanalys/solid Park ( ). Berör områdena kvalitet, personal, fysisk säkerhet, systemsäkerhet, datasäkerhet, sårbarhet, styrning och ledning samt samgående. Rapporten pekar på förbättringsbehov inom några områden. Nuläges och säkerhetsanalys/solid Park Bilaga till Sårbarhetsanalys ( ). Detaljerad genomgång av ovanstående områden. 11

12 Det har påbörjats ett arbete med systemsäkerhetsplaner men arbetet är inte slutfört se även roller och ansvar. Många användare upplever otydligheter avseende vilka regler och riktlinjer som finns och var de kan ta del av dessa. Negativa konsekvenser av detta anges av vissa användare. Kommentarer och rekommendationer: Vi konstaterar att det inom kommunen finns många bra dokumentet som stödjer användning och utveckling. Dock är vissa i behov av revidering. Vår bild är att det är svårt att överskåda vilka dokument som är aktuella och var de återfinns. Det är viktigt med information om hur och på vilket sätt ansvariga och användare ska använda dokumentationen. Detta bör vara ett viktigt inslag i utbildningsaktiviteter. T ex vilka dokument är viktiga för olika målgrupper och var och hur användare och ansvariga finner den aktuella dokumentationen. 3.3 Finns tillräckliga datorer, kommunikationsutrustning och annan teknik som säkerställer en stabil driftsmiljö? Iakttagelser Under året har alla datorer bytts ut inom kommunen. Avseende tillgänglighet till en dator anges att det är sannolikt att det finns användare som delar dator med kollegor och där det skulle vara fördelar med en egen dator. Detta är dock upp till varje verksamhet att bedöma. Blir det fel på hårdvaran finns processer och avtal där problemen ska åtgärdas direkt av leverantören. Ett förbättringsarbete för en säkrare och stabilare kommunikation har via avtal med ny leverantör påbörjats under året och ska vara slutfört under augusti. Den nya leverantören kommer att säkerställa tillgänglighet ända fram till uttaget i väggen. Målet med det nya avtalet är att öka driftsäkerheten och få bättre övervakning av kommunens nät. Nätet är enligt uppgifter väl dokumenterat. Avseende drift och säkerhet (t ex larm, brandväggar o dyl.) handhas detta av nya ITleverantören (extern). Under 2007 gjordes utvärderingar kring IT-säkerheten. I rapporter anges brister och förslag till förbättringar. Enligt uppgifter är förslagen idag åtgärdade. Även om de flesta användare är nöjda med IT-infrastrukturen så utrycker flera användare problem, t ex att de blir utkastade. Från IT-enheten uppges att detta kan förklaras med att an- 12

13 vändare blir utloggad efter inaktivitet under en viss tid (av resurs och säkerhetsskäl, t ex för att inte ta onödigt med kraft från servern). På fråga om användare tappar tid på grund av stillestånd och krångel svarar 49 användare att de tappar mellan 20 min och 1 timme i veckan. 16 användare anger mer än 1 timme i veckan. Från IT-enheten anges att en förklaring till vissa störningar kan vara relaterade till en stor diskkrasch i slutet av Det tog flera månader att åtgärda problem som kraschen orsakade. Fråga kring om användare upplever att de förlorar onödig tid p g a driftstörning/problem med system Jag upplever inte att jag förlorar tid pga avbrott och väntetider eller fel Jag förlorar mindre än 20 min per vecka Jag förlorar 20 min - 1 tim per vecka Jag förlorar 1-3 tim per vecka Jag förlorar mer än 3 timmar per vecka "Program försvinner, skrivare försvinner m m" "inte tillgång till utskrifter" "då störningar uppkommer kan jag inte handlägga mina ärenden." "kommer inte åt pat.journal. " "Kastas ibland ut ur Procapita systemet" "Tappade skrivardrivrutiner, serverkontakt etc. Verksamhetsspecifika program ligger på server vilket gör att arbete i programmen ej kan fortgå." "Detta gäller senaste halvåret ungefär, tidigare var det mindre än 20 min per vecka. Felmeddelanden i vårt ärendehanteringssystem miljöreda (miljöreda är superviktigt för oss men strular tyvärr ibland). Problem med utskrifter har det varit ovanligt mkt." "De sista månaderna har det blivit mycket bättre, tidigare kunde det var 1-3 tim/vecka." "Normalt sett fungerar allt som det ska. Men ibland, vissa dagar, kan det vara helt oacceptabelt. Därför är det svårt att sätta en viss tid för förlorad arbetstid." "kommer inte in i datorn. det tar lång tid att starta upp. kan bli utkastad." 13

14 "Förlorade filer, stor frustation att systemen fungerar med tröghet, störning eller totalt stopp." "Man blir ofta utkastad ur olika system och får logga in på nytt igen." "Händer lite då och då att det blir avbrott i systemet" Kommentarer och rekommendationer: Vi konstaterar att det pågår ett förbättringsarbete avseende kommunens infrastruktur, vilket är positivt. Här är det viktigt att de planerade förbättringsarbetena kring säkrare och stabilare kommunikation genomförs som planerat. Det är viktigt att de störningar som angetts från användarna följs upp ytterligare inom nämnderna och att det görs en dokumenterad bild av nuläget, t ex vilka störningar som finns i nuläget, orsaken och vilka konsekvenser störningar ger. Här bör de förbättrade underlag som kommer att erhållas från kommunens servicedesk kunna utgöra ett bra stöd. 3.4 Sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur och IT-avdelningens leveranser fungerar tillfredsställande? Iakttagelser En sevicedesk 4 finns dit användare kan vända sig vid problem eller incidenter. Information som genereras i servicedesken följs upp av leverantören. IT-leverantören stödjer sig på ITIL 5 i detta arbete. Ett förbättringsarbete avseende processer i anslutning till servicedesken pågår. Ett förbättringsområde som anges av ansvariga är bättre analyser av informationen som genereras i servicedesken. 4 Servicedesk kan ses som en utvidgning av en helpdeskfunktion. Funktionen servicedesken är central för att IT-funktionens olika processer ska fungerar optimalt. Ett viktigt syfte med en servicedesk är att användare ska ha ett ställe att vända sig till. Servicedesk ska vara kontakten/gränsnittet mellan användare och IT. 5 ITIL IT Infrastructure Library. Är ett processorienterat arbetsätt där målet är att stödja verksamheterna på ett optimalt sätt. 14

15 Kommunen har tecknat SLA 6 :er med IT-leverantören. Efterhand kommer dessa att förbättras då kraven från kommunens nämnder tydliggörs. Via IT-funktionens servicedesk sker uppföljning mot avtal. Möten sker med IT-leverantören var tredje vecka där ärenden och statistik gås igenom, För närvarande sker uppföljning av utförda leveranser från IT-funktionen inte på något systematiskt sätt. Detta är dock något som man planerar att införa i samband med införande av förvaltningsmodellen PM3. Se avsnitt 3.1 roller och ansvar. Några systematiska uppföljningar av användarnöjdhet sker inte idag. Kommentarer och rekommendationer: Vi kan konstatera att det pågår förbättringsarbeten avseende uppföljning. I detta sammanhang är det viktigt att det inom nämnderna tydliggörs vart användare vänder sig i olika ärende rörande IT. Här kan ett alternativ vara att användarna alltid först vänder sig till servicedesk och att servicedesk, i de fall de inte kan hjälpa till direkt har ett ansvar för att ärendet hamnar hos rätt ansvarig. 3.5 Sker uppföljning och finns kontroll avseende IT-relaterade kostnader? Iakttagelser Dokumenterade redovisningsprinciper kring IT-relaterade kostnader saknas för närvarande. Efter att samarbetet med Västerås stad etablerats fullt ut är det planerat att ta fram dokumenterade principer för IT-kostnaders fördelning, t ex vad som ska finansieras av verksamheterna. Detta är planerat att genomföras under hösten För närvarande betalar nämnderna en summa för varje ansluten dator. Beloppet täcker inte den totala kostnaden för IT-verksamheten. 6 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse på de tjänster och krav på kvalité på utförda tjänster. Vad ska IT-verksamheten leverera till den verksamhet som bedrivs inom nämnderna. 15

16 När kommunen investerar i nya IT-system har ett förbättringsarbete pågått som enligt ITansvarigas bedömning resulterat i att det görs bättre kalkyler idag av vad ett system kostar totalt förutom den direkta systemkostnaden. Det är idag svårt att få en övergripande bild av kommunens samtliga gemensamma externa kostnader som berör IT. Inom nämnderna redovisas inte kostnader på något enhetligt sätt. Avseende IT-avdelningens egna kostnader är detta enklare att erhålla. Tid som läggs på IT-relaterade frågor redovisas inte, t ex tid för systemförvaltning. I huvudsak efterfrågas inte någon systematisk redovisning från styrelse och nämnder kring kostnader som är relaterade till IT. Enligt uppgifter från IT-enheten förekommer det att förvaltningscheferna efterfrågar uppgifter över IT-relaterade kostnader. Kommentarer och rekommendationer: Det är viktigt att kommunens totala kostnadsuppföljning avseende IT ses över och att styrelse och nämnder säkerställer att de har en tydlig bild över samtliga IT-kostnader. Ett förslag till förbättring kan vara att systemen tilldelas olika nummer som används i någon av kommunens koddelar. Det är givetvis viktigt att det sker uppföljning över att kostnader konteras korrekt. Vi föreslår även att styrelse och nämnder kontinuerligt erhåller en dokumenterad bild över vilka resurser som läggs av olika befattningshavare i arbetet kring system (t ex systemförvaltning). Det är positivt att kommunens finansieringsmodell ses över. Vi ser risker med att förvaltningarna idag anstränger IT-leverantörens resurser utan att detta påverkar förvaltningarnas kostnader. Dagens modell kan även innebära att IT-leverantören inte erhåller tillräckliga resurser att möta de krav och behov som ökat antal system, användare och datorer medför. 3.6 Finns tillfredställande rutiner och ansvar för rapportering och hantering av incidenter (problem) samt stöd till användare? Iakttagelser En servicedesk (ny IT-leverantör) finns inom kommunen. Användare ska ringa servicedesk avseende alla fel som inte specifikt rör ett system. Gäller det systemspecifika problem så vänder man sig först till systemansvarig. Därefter gör systemansvarig en bedömning kring på vilket sätt problemet ska hanteras. Frågor som hanteras av systemförvaltare dokumenteras inte på något systematiskt sätt. 16

17 Ansvariga vid IT-enheten anger att det förekommer att användare idag ringer till fel person eftersom servicedesken inte är helt implementerad. Servicedesken nås via ett telefonnummer. Servicedesken arbetar enligt en dokumenterad praxis (ITIL). Detta innebär bl a att ärenden prioriteras och dokumenteras systematiskt (t ex sparas kommentarer och åtgärder för respektive ärende vilket innebär att det går att återfinna och använda i framtida arbete). Ärenden prioriteras efter de SLA:er som Hallstahammars kommun tecknat med nya IT-leverantören. Rapporteringsprocesser finns kring kända fel. Dvs att användare meddelas att systemen av någon anledning inte är tillgängliga och inte går att använda vilket kan minska onödig väntan och bättre arbetsplanering. Servicedesk kan fjärrstyra användarnas datorer vilket bl a påskyndar hanteringen av problem. Incident och problemhanteringsprocesser finns (innebär att det finns rutiner för att snabbt åtgärda problem men även att felen utreds för att därefter åtgärdas korrekt). Ansvariga vid IT-enheten anger att processer i anslutning till servicedesk inte är helt införda då man befinner sig i en inledningsfas. Varje förvaltning och verksamhet har ansvar för att höja kompetensen hos sina medarbetare vad det gäller deras egna applikationer och verksamhetssystem. Vad avser gemensamma program såsom och Officepaket så anordnas vid behov kurser centralt på IT-enheten. T ex pågår för närvarande en generell IT-utbildning för medarbetare inom förskolan. Analyser av användarnas kompetensbehov görs inte på något systematiskt sätt inom kommunen. Servicedesk prioriterar ärenden enligt det avtal som finns (SLA), En av de intervjuade systemförvaltarna anger behov av att se över servicedeskens prioriteringar av ärenden. Frågor ställdes till användare ute i verksamheten via ett webb-baserat svarsformulär. Svaren varierar, där många användare är nöjda. Dock anger många användare problem som indikerar ett förbättringsbehov. (Vi har även fått skiftande kommentarer till vilka konsekvenser detta medför för användarna. Grafen nedan visar 220 användares upplevelse kring frågor som rör problem och support. Frågeställningar inom Service från IT-enhet och IT-leverantör Datorvana om kompetens Enkelt att meddela då problem uppstår Tillräcklig information då t ex system inte kan användas och detta är känt. Tillräckligt stöd 17

18 Snabbt åtgärdande av fel Tydlighet vart man vänder sig vid problem i viktigt systemet samt i allmänhet Service från IT-avdelning God datorvana och förmåga Enkelt att meddela ärenden,väntetider Tillräckling information kring kända fel Support i allmänhet Tillräcklig support system Snabbt åtgärdande av fel allmänt Problem snabbt åtgärdade i system Tydlig vart man vänder sig vid problem i system Tydlig vart man vänder sig vid problem i allmänhet Känt hur fel rapporteras % -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Kommentarer och rekommendationer: Vi bedömer att kommunens hantering av incidenter och problem inte är tillräckligt tillfredställande. Enligt vår bedömning förekommer idag störningar som påverkar verksampå ett oönskat sätt. Vi konstaterar dock att det skett stora förändringar genom nya ITfunktionen där processer ännu inte fullt ut är införda. Förbättringsarbete pågår även av systemförvaltningsmodellen. Det är viktigt att målsättningen med arbetet tydliggörs och kommuniceras inom hela kommunen. Användarna kan idag vända sig till olika ansvariga för att få hjälp och support. Det är viktigt att säkerställa en helhetsbild av de problem och frågeställningar som förekommer. Detta är viktigt för att åtgärda, förebygga samt utgöra underlag för resurstilldelning. För att få ett helhetsgrepp skulle det vara önskvärt att servicedesksystemet används för att samla information på ett ställe avseende alla IT-relaterade frågor och störningar från användare och vara stöd i systemförvaltarnas och IT-enhetens arbete. 18

19 I förbättringsarbetet föreslår vi att IT-enheten tillsammans med förvaltningarnas ITansvariga ser över hur servicedesksystemet ytterligare kan vara ett stöd för olika åtgärder. Systemet bör kunna ge information och vara ett bra stöd för proaktivt arbete och för prioritering av ärenden. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D v s vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i system och andra program samt inom andra väsentliga IT-områden (t ex IT-säkerhet). Därefter bör generella utbildningsprogram framtas som bör vara obligatoriska. I detta arbete bör ärenden som inkommer till servicedesken kunna vara till hjälp. 3.7 Finns tillfredställande rutiner för installation och underhåll av gemensam programvara i användarens dator? Iakttagelser Fjärrstyrning av datorer sker från IT-funktionen. Programpaket och uppdateringar skjuts ut via nätet där det finns behov. Övervägande delen av kommunens datorer är tunna klienter 7 datorer och där sker uppdateringar i kommunens servrar. Möjlighet finns att automatiskt kontrollera vilka program som finns i användares dator. Förteckningar finns över de licenser som används gemensamt, t.ex. Officepaket och virusprogram. Uppföljning sker enligt uppgifter årligen. Verksamheten håller koll på sina egna licenser för de verksamhetssystem man använder och applikationer som är kopplade till dessa. Användare kan inte själva installera programvara. Riktlinjer till användare rörande program finns. I avsnitt 3.2 som rör policies och riktlinjer har vi konstaterat att det finns en otydlighet hos flera användare. Kommentarer och rekommendationer: Vi bedömer kommunens hantering av program i huvudsak vara tillfredställande. Dock ser vi det befogat att det sker uppföljningar som säkerställer att det finns en tillfredställande hantering av program och licenser inom nämnderna. 7 Datorer utan hårddisk 19

20 3.8 Finns tillfredsställande rutiner för inköp av teknisk utrustning? Iaktagelser Alla datorer och utrustning ska enligt uppgift beställas av IT-chefen. Avtal finns med leverantör där inköp sker. Leverantören installerar programvara via en mall och kör ut datorn till användaren. Leverantören kopplar in datorn och meddelar servicedesk att en ny dator är ansluten. De ser sedan till att datorn får rätt skrivare. Inköpen förtecknas i register. Från ITenheten anges att kontrollen är god samt att rutiner tillämpas på ett bra sätt av verksamheten. Äldre utrustning tas om hand och kasseras via avtal och rutiner med leverantör. Alla hårddiskar raderas och leverantören översänder en förteckning på vad som skett. Skriftliga rutiner saknas. Kommentarer och rekommendationer: Vi bedömer att rutiner kring inköp fungerar tillfredsställande. Dock bör skriftlig dokumentation upprättas. 20

21 Bilaga 1 Grafen nedan exemplifierar ansvar och roller kring IT kopplande till olika granskningsobjekt 21