Övergripande granskning av ITverksamheten

Transkript

1 Övergripande granskning av ITverksamheten Februari 2006 (1)

2 1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads IT-verksamhet avseende områden såsom IT-strategi, IT-leverans, teknologi, personal, system och applikationer. Granskningen, vilken initierades för att kommunrevisionen skulle få en bedömning av ITverksamheten, har resulterat i denna skriftliga rapport. Resultatet av granskningen utgör ett underlag för att identifiera eventuella områden där det finns utrymme till förbättringar alternativt fördjupad analys. 2. Metod Under granskningen har ett verktyg (ITM) använts som bygger på en databas med best practice och benchmark för generell IT-verksamhet inom områdena IT-strategi, ITleverans, teknologi, personal samt system och applikationer används (se tabell nedan). Varje område är uppdelat på ett antal delområden (totalt 22 st) som i sin tur innehåller ett antal frågor. Område Utdrag ur innehåll IT-strategi Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? IT-leverans Teknologi Personal System och applikationer Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas ITstödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? (2)

3 Informationsinsamlingen har utförts genom intervjuer med personal inom Borås Stad samt genom att ta del av relevant information som Borås Stad har tillhandahållit. Baserat på denna information har respektive delområde bedömts utifrån en femgradig skala. I bedömningen har förutsättningar och omständigheter, specifika för Borås Stad, vägts in i vår sammanfattande bedömning och slutsats. Sammanlagt 9 personer har intervjuats, varav en via telefon. Urvalet har varit strategiska IT-personer från kommunledningskansliet, ansvarig och operativ personal för IT-frågor på administrativa kontoret samt representanter från förvaltningarna. 3. Övergripande slutsats Intervjuerna och resultatet från verktyget (se bilaga 1 för grafisk presentation) kan sammanfattas som att: de ambitioner som Adk Data har avseende införande av kvalitetsramverket ITIL är bra samt bör fortsätta och utökas till fler områden än vad som omfattas idag inriktningen att verksamheten beställer och att Adk data ses som leverantör bör upprätthållas en uppdatering av den befintliga IT-strategin bör genomföras och en ITsäkerhetspolicy bör utarbetas. en tvärfunktionell formell IT-styrgrupp som årligen beslutar om inriktningen för IT-verksamheten bör bildas. den ekonomiska styrmodellen kan ge alltför svaga incitament till viktiga generella IT-satsningar, som t ex IT-säkerhet. Detta ökar risken att sådana satsningar inte genomförs i tillräcklig omfattning. Adk Data bör etablera en gemensam värdegrund och arbeta mer med individuell personal- och kompetensutveckling. Vidare visade granskningen att formaliseringsgraden och dokumentationen inom Adk Data generellt är låg. Samtidigt uppfattas roller och ansvar inom Adk Data, och mot övriga delar av Borås Stad, som otydlig. 4. Resultat per område Resultatet från respektive granskningsområde presenteras översikligt nedan. (3)

4 4.1 IT-strategi Inom området IT-strategi har följande iakttagelser gjorts: Avsaknad av uppdaterad IT-strategi försvårar styrningen av ITverksamheten. Dokumentet bör uppdateras och vikt bör läggas på att kommunicera och förankra innehållet samt att hålla det levande över tiden. En tvärfunktionell styrgrupp för strategiska ITfrågor bör inrättas. Där bör t ex en årlig IT-plan som anger inriktning, prioriteringar, satsningar och mål beslutas samt uppföljning av nyckeltal för IT-verksamheten följas upp. Adk Data bör satsa på att bli en mer strategisk samarbetspartner till verksamheten och uppfattas som en naturlig rådgivare i IT-frågor. I dag kommer Adk Data ofta in relativt sent i processen och används alltför sällan t ex vid förvaltningarnas förstudier av nytt ITstöd (mer än frågor som rör ren IT-drift). Detta innebär att Adk Data får en mer reaktiv än proaktiv roll. Den ekonomiska styrmodellen med en högst decentraliserad IT-budget, där förvaltningarna betalar för Adk Datas verksamhet, kan ge alltför svaga incitament till viktiga generella satsningar, som t ex IT-säkerhet eller kostnadseffektivitetsprojekt. Detta ökar risken att sådana satsningar inte genomförs eftersom nödvändiga medel redan fördelats ut i verksamheten. Vidare bör den prislista som Adk Data utarbetar som underlag till förvaltningarna för köp av tjänster mer ingående jämföras med vad andra kommuner tar ut för motsvarande tjänster. (4)

5 4.2 IT-leverans Inom området IT-leverans har följande iakttagelser gjorts: Adk Data bedriver ett projekt att införa kvalitetsramverket ITIL. Detta är bra och tyder på en medvetenhet att anpassa ITverksamheten till kundbehovet och effektivisera de interna processerna. Projektet bör fortsätta efter det att ITIL införts i supportverksamheten. Ett prioriterat område i nästa steg kan vara att införa s k Service Level Agreements (SLA) för att tydliggöra vad Adk Data förväntas leverera till verksamheten. En ökad satsning på att hitta lämpliga nyckeltal (t ex tillgänglighet) som mäter ITverksamheten med utgångspunkt från de övergripande målen och eventuella SLA:s bör genomföras och kommuniceras med övriga verksamheten. En dokumenterad och formaliserad process för ändringshantering saknas. Detta kan leda till risker t ex vid införande ny funktionalitet i IT-miljön men även att ej prioriterade ändringar genomförs. Ändringshanteringsprocessen bör även kopplas samman med en generell modell för projektstyrning. Ett ramverk för informationssäkerhet saknas. En informationssäkerhetspolicy bör utarbetas och fastställas och en underliggande dokumentationsstruktur bör implementeras för att reducera riskerna i bl a IT-verksamheten. (5)

6 4.3 Teknologi Inom området teknologi har följande iakttagelser gjorts: Det nätverk och den systemövervakning Adk Data byggt uppfattas generellt som ändamålsenlig. Vidare uppfattas tekniska stödsystem, t ex för införande av ny programvara, vara väl utvecklade och moderna i sin uppsättning. Den tekniska inriktningen och valda standards bör dokumenteras och formaliseras. En ökad standardisering kan också leda ökad kostnadseffektivitet inom driften. Vidare bör även säkerhetskrav ställas på infrastrukturkomponenterna (t ex servar och wlan). En kontinuitetsplan avseende förlorad strömförsörjning finns i dag. Dock saknas en formell kontinuitetsplan för hur Adk Data skall kunna upprättahålla ett acceptabelt verksamhetsstöd även i händelse av en katastrofsituation eller en mer omfattande störning. (6)

7 4.4 Personal Inom området personal har följande iakttagelser gjorts: Det initiativ att förbättra de interna attityderna inom Adk data som bl a anger ITpersonalens inställning till verksamheten och IT:s roll bör fortsätta med fokus att etablera en gemensam värdegrund. En plan för att säkra kompetens inom centrala områden och undvika nyckelpersonsberoende bör prioriteras. Detta, tillsammans med en satsning på individuella karriär- och utvecklingsplaner, bör genomföras för att minska riskerna vid personalomsättning. En viktig komponent för en fungerande IT-avdelning är en förståelse för verksamhetens behov och de relationer och den rollfördelningen som bör vara på plats för att IT ska utgöra ett adekvat stöd till verksamheten. Inom detta område bör Adk Data öka fokus och löpande arbeta med att internt utbilda personalen, t ex genom en ökad integrering och delaktighet i verksamheten. (7)

8 4.5 System och applikationer Inom området system och applikationer har följande iakttagelser gjorts: I relationen med verksamheten utgör Adk Data leverantör medan verksamheten är beställare. Denna relation bör upprätthållas. Dock bör Adk Data bli involverad på ett mer tidigt stadium, i många projekt, för att säkerställa att tekniska standarder följs som stödjer den övergripande arkitekturen. Att hålla flera applikationer med olika tekniska lösningar, t ex databashanterare eller operativsystem, i drift leder ofta till högre kostnader. Där det är möjligt bör verksamheten därför samordna de system och lösningar som önskas för att Borås Stad totalt sett ska få en kostnadseffektiv förvaltning. Avsaknaden av ett ramverk för informationssäkerhet innebär att även applikationssäkerheten kan bli lidande. Det är därför viktigt att dokumentation med riktlinjer kring säkerhet för applikationerna upprättas och kommuniceras till systemansvariga. Allmänt kan konstateras att systemdokumentationen är eftersatt för de flesta applikationer och system inom Borås stad. Detta ökar risken för bl a störningar i IT-systemen om personer slutar eller uppgraderingar ska genomföras. En genomgång av systemdokumentationen bör genomföras och generella minimikrav bör fastställas centralt. Ytterligare ett förbättringsområde är licenshanteringen. Avsaknad av strukturerad och formell licenshantering ökar risken för ekonomiska påföljder (t ex böter) och skapar sämre förutsättningar att bygga en effektiv IT-miljö. (8)

9 5. Sammanställning och förslag på prioriteringar Nedan anges en sammanställning av de observationer som bör åtgärdas. Respektive observation har fått en prioritet enligt skalan Låg, Medel respektive Hög. Hög Prioritet betyder att åtgärden bör initieras relativt omgående. Det kan vara områden där det föreligger en omedelbar risk för verksamhetsstörningar eller oönskade kostnader. Medel Prioritet betyder att åtgärd bör genomföras på medellång sikt, t ex inom ett år, men där risken för omedelbara verksamhetsstörningar kan anses mer begränsad. Låg Prioritet innebär att området bör bevakas och åtgärd initieras på längre sikt. Detta kan vara områden med en låg risk för verksamhetsstörningar eller där åtgärden kan betraktas som en generell underhållsfråga. Vissa åtgärder tar längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. # Observation Prioritet Område Hög Medel Låg 1. Uppdatera IT-strategin IT-strategi 2. Definiera och inför ett ramverk för informationssäkerhet 3. Se över den ekonomiska styrningen och tilldelningen av medel för centrala och gemensamma IT-satsningar 4. Etablera en gemensam värdegrund inom Adk Data och satsa på individuella kompetens- och utvecklingsplaner. IT-leverans IT-strategi Personal 5. Inrätta en formell IT-styrgrupp IT-strategi 6. Upprätta årlig IT-plan IT-strategi 7. Utveckla nyckeltal som möjliggör uppföljning av IT-verksamheten IT-leverans (9)

10 8. Inför en strukturerad licenshantering System och applikationer 9. Gör Adk Data till en mer strategisk samarbetspartner inom Borås Stad 10. Dokumentera och formalisera ändringshanteringsprocessen 11. Standardisera den tekniska inriktningen och arkitekturen IT-strategi IT-leverans System och applikationer 12. Etablera en IT-kontinuitetsplan Teknologi 13. Gör en översyn av systemdokumentationen och fastställ centrala minimikrav System och applikationer (10)

11 Bilaga 1 Nedanstående bild visar översiktligt resultatet av alla områden: (11)