Region Halland Översiktlig granskning av IT-verksamheten

Transkript

1 Region Halland Översiktlig granskning av IT-verksamheten Uppföljning av granskningsrapport från 2012 September 2015

2 Innehållsförteckning 1. Bakgrund till projektet 2. Revisionsfråga och kontrollmål 3. Metod för granskning och avgränsning 4. Sammanfattning 5. Detaljerad analys 2

3 1. Bakgrund till projektet Under 2012 genomfördes en övergripande granskning av IT-verksamheten vid Region Halland inom ramen för revisionsarbetet. Syftet var att granska huruvida IT-verksamhetens resurser var organiserad, strukturerad för att ge ett ändamålsenligt verksamhetsstöd. Granskningen visade på behov av utveckling inom flera viktiga områden. Revisorerna har mot denna bakgrund tillsammans med genomförd risk- och väsentlighetsanalys 2014, beslutat att genomföra en förnyad granskning av IT-verksamheten. Granskningen bedöms viktig då en ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk och funktionell plattform är en viktig förutsättning för en effektiv och säker verksamhet. Rapporten som avlämnades 2012 kommer att vara basen för denna granskning. 3

4 2. Revisionsfråga och kontrollmål Revisionsfråga Följande revisionsfråga ska besvaras inom ramen av granskningen: - Säkerställs att användningen av IT-verksamhetens resurser är organiserad, strukturerad och kontrollerad för att ge en välavvägd IT-leverans och därigenom utgöra ett ändamålsenligt verksamhetsstöd. Kontrollmål Den övergripande granskningen av IT-verksamheten är översiktlig och ska utgå från bland annat följande kontrollmål: - Finns det en tydlig ansvarsfördelning som klargör relationen mellan IT och verksamheten? - Har regionen ett strukturerat arbete för att säkerställa en god IT- och informationssäkerhet? - Finns styrande dokument framtagna och är dessa kommunicerade? - Är processen för framtagande av IT-budget och uppföljning dokumenterad och strukturerad samt genomförs utvärdering av ITstödet? - Är IT-driften ändamålsenligt strukturerad och kontrollerad t.ex. att det finns en förståelse avseende vilket sätt data sparas och hanteras (backup), kontinuitetshantering? - IT-leveransen är anpassad till verksamheterna och det finns en tydlig process för förbättring av befintliga system? 4

5 3. Metod för granskning och avgränsning Granskningen har utförts genom intervjuer med följande roller inom Region Halland samt genomgång av dokumentation och annat relevant material. Sammanlagt har 15 representanter inom regionen deltagit vid intervjuer (se tabell nedan). Faktaavstämning har gjorts av erådets ordförande. Funktion/Roll Ordförande erådet Teknisk controller Operativt IT-säkerhetsansvarig Informationssäkerhetssamordnare Medicinsk teknik Halland verksamhetschef IT applikation avdelningschef Ekonomiledning avdelningschef Service desk avdelningschef Projektledare förvaltningsmodellen Förvaltningsledare VAS Server och kommunikation avdelningschef IT-strateg Ekonomichef stab Hallands sjukhus ekonomichef Porjektledare Sithskorten Förvaltning, enhet Regionkontoret Regionservice Regionservice Regionkontoret Medicinsk teknik Halland Regionservice Regionservice Regionservice Regionservice Regionservice Regionservice Regionservice Regionservice Hallands sjukhus Regionkontoret 5

6 4. Sammanfattning Kommentarer till revisionsfrågan och kontrollmålen Revisionsfrågan Säkerställs att användningen av IT-verksamhetens resurser är organiserad, strukturerad och kontrollerad för att ge en välavvägd IT-leverans och därigenom utgöra ett ändamålsenligt verksamhetsstöd Sedan granskningen 2012 har det påbörjats ett arbete med att förändra och åtgärda de brister som då identifierades inom Region Hallands ITverksamhet. De tydligaste förändringarna är att det numera finns en person (erådets ordförande) som dels är övergripande ansvarig för förvaltningsmodellen men även IT-verksamheten i stort. Region Hallands styrmodell för systemförvaltning (tidigare PM3) har omarbetats och det finns idag en fullständig modell som upplevs bättre anpassad för Region Hallands verksamhet dock finns det fortfarande brister i implementeringen av densamma. Flertalet styrande dokument som saknades vid förra granskningen finns idag på plats, exempelvis IT-policyn som tagits fram av erådet. Flertalet av de iakttagelserna som identifierades är dock endast delvis åtgärdade eller inte åtgärdade alls. Förvaltningsmodellen är ännu inte fullt införd i praktiken sett till antalet system som förvaltningsmodellen omfattar men fler system är dock på väg in. Det saknas fortfarande en övergripande IT-strategi även fast styrningen har förbättrats med hjälp av ovan nämnd IT-policy och Regionservice IT (RGS IT) upplever fortsatt en resursbrist för att nämna några exempel. Ambitionsnivån och viljan bedöms dock vara hög för att förändra IT-verksamheten inom Region Halland, utmaningen för regionen är att avsätta tillräckliga resurser och prioritera rätt i förändringsarbetet. Regio n Halland saknar fortsatt en IT-säkerhetsansvarig samt att flertalet iakttagelser gällande IT-säkerhet kvarstår. 6

7 Det finns en tydlig ansvarsfördelning som klargör relationen mellan IT och verksamheten Relationen mellan IT och verksamheten samordnas primärt genom Region Hallands styrmodell för systemförvaltning (tidigare PM3). Denna modell bygger på att IT och verksamheten har möten inom modellen där behoven lyfts från verksamhetssidan och IT försöker att svara upp med vilka möjligheter som finns för att t ex förbättra funktionaliteten i ett system. Sedan granskningen 2012 har antalet system som införts i modellen stigit från ett 30-tal till 80-tal men fler system bör omfattas av modellen. Sedan 2012 har även förvaltningsmodellen omarbetats så att infrastruktur ingår som en familj i modellen och nya objekt har tillkommit. IT inom Region Halland innefattar även Medicinteknik Halland (MTH), detta är inom Region Halland en separat organisation inom Hallands sjukhus. Samarbetet mellan RGS IT och MTH har blivit bättre men kan förbättras ytterliggare. Grundläggande SLA (Bas-SLA) har tagits fram för att tydliggöra RGS ITs ansvar gentemot verksamheten. Systemspecifika SLA är under framtagande men finns ännu inte på plats. Detta område bedöms fungera bra med viss förbättringspotential. Det finns ett strukturerat arbete för att säkerställa en god IT- och informationssäkerhet Arbetet med IT- och informationssäkerhet anses strukturerat men inte utan brister. Region Halland arbetar enligt ISO27001 (ledningssystem för informationssäkerhet) vilket är en certifiering för att säkerställa att en organisation arbetar på ett strukturerat sätt inom informationssäkerhet. Vidare finns det ett ISSO-nätverk inom regionen som utreder frågor avseende informationssäkerhet som t.ex. ställs genom Patientdatalagen (PDL). I denna granskning har vi återigen noterat brister gällande IT-säkerhet som bör åtgärdas, till exempel saknas det en IT-säkerhetsansvarig inom regionen, fullt detaljerade kontinuitetsplane samt att det inte finns systemspecifika SLA (service level agreement) mellan verksamheten och Regionsservice IT. Ambitionen finns där, det har skett förbättringar men det finns fortsatt brister inom informationssäkerhet. Det finns styrande dokument framtagna och kommunicerade Stora förändringar har skett inom detta område, erådet har tagit fram en IT-policy med tillhörande riktlinjer som är tydligt kommunicerade inom Region Halland. Vidare finns det flertalet styrande dokument på plats för att visa på hur IT-säkerhet bör hanteras. Det saknas dock fortsatt en IT-strategi inkluderande handlingsplan för IT på flera års sikt för verksamheterna inom regionen utöver det arbete som bedrivs inom förvaltningsmodellen. Arbetet med IT-säkerhet och vilka krav som finns inom detta område finns beskrivet i IT-säkerhetspolicys. Flertalet nya styrande dokument har tagits fram sedan 2012 vilket underlättar styrningen av IT dock saknas fortfarande en IT-strategi. 7

8 Processen för framtagande av IT-budget och uppföljning av att den är dokumenterad och strukturerad samt att mätningar och värderingar av IT-stödet genomförs kontinuerligt Det finns en strukturerad budgetprocess framtagen och dokumenterad som en del av förvaltningsmodellen. Inom Hallands sjukhus finns även IT-budgetprocesser för inköp av hårdvara (t ex arbetsstationer). I eplanen budgeteras kostnaden för IT för varje räkenskapsår exklusive Hallands Sjukhus egna IT-budgetar. Det är dock fortsatt svårt att få en samlad bild över den totala IT-kostnaden då alla kostnader inte finns med i E-planen avseende inköp av PC och hela eller delar av kostnader för system som inte omfattas av systemförvaltningen. Region Halland saknar även en process avseende övergripande mätningar av IT-stödet inom regionen. Vi bedömer att den övergripande kontrollen av kostnader för IT inom regionen är god med viss förbättringspotential men övergripande mätningar av IT-stödet bör införas. IT-driften ändamålsenligt strukturerad och kontrollerad t.ex. att det finns en förståelse avseende vilket sätt data sparas och hanteras (backup), kontinuitetshantering IT-driften är organiserad inom Regionservice IT som hanterar ca 600 servrar. Inom RGS IT ingår även helpdesk vilken enligt respondenterna fungerar på ett tillfredsställande sätt. RGS IT arbetar med vissa processer enligt ITIL (IT infrastructure library) t ex incident- och problem management vilket skapar grunden för bättre och effektivare processer inom RGS IT. RGS IT har en kontinuitetsplan för sin verksamhet men vi noteraratt denna inte är tillräckligt omfattande, exempelvis saknas kopplingar till underliggande dokumentation. RGS IT har tagit fram ett generellt SLA (bas SLA) avseende vad RGS IT skall leverera till verksamheten. Det som inte är på plats idag är systemspecifika överenskommelser/sla med verksamheten avseende vilken leverans de kräver avseende drift av sina system i form av upptider och backuptagning. En ökad formalisering inom detta område leder till att RGS IT kan strukturera sin leverans, tydliggöra ansvar samt att verksamheten kan förtydliga sina krav, vilket även ställer höga krav på verksamheten som beställare. Tydligare interna SLA kommer att klarlägga vad IT-driften måste leva upp till baserat på verksamhetens krav. IT-leveransen är anpassad till verksamheterna och det finns en tydlig process för förbättring av befintliga system Det saknas tydliga och uppdaterade systemspecifika SLA (service level agreements) i form av vad verksamheten kräver avseende leverans från systemförvaltningen, vidare är en tjänstekatalog fortfarande inte på plats. Driftsgruppen inom Regionservice IT ansvarar för drift av servrar, som till viss del jobbar efter processer som används enligt ITIL (IT Infrastructure library). Det har sedan förra granskningen utförts ett arbete i form av att förvaltningsmodellen omarbetats från grunden och numera ingår dessutom infrastruktur i modellen. Förvaltningsmodellen har dessutom en person som är ansvarig för införandet. Inom detta område finns fortsatt en förbättringspotential då SLA bör arbetas fram samt tjänstekatalogen utvecklas. 8

9 Granskningen 2012 mynnade ut i ett antal detaljerade observationer med tillhörande rekommendationer. Tabellen visar observationerna från 2012 samt vilken priotiering vi gav dem då. Färgkodning visar vilken status respektive iakttagelse har idag. För detaljer kring observationer och rekommendationer, se avsnitt 5. Åtgärdad Delvis åtgärdad Ej åtgärdad Ref Observation Prioritet 2012 (Låg, Mellan, Hög) Ansvar och mandat avseende IT Mellan Förtydliga och utveckla Region Hallands IT-strategi Hög Tjänstekatalog och kostnadsfördelningsmodellen Mellan Organisation MTH och RGS IT Låg Förståelse för den totala IT-kostnaden inom Region Halland Låg Region Hallands styrmodell för systemförvaltning Hög IT-säkerhet Hög Nyckeltal och mätning Mellan Mall vid upphandling av IT-system Låg RGS IT Mellan Införande av SITHS korten Låg Patchning av servrar Låg Gemensamma arbetssätt inom VAS Låg Förståelse för PM3 Låg Drift av likvärdiga system samt systemförteckning Mellan Systemägare och systemförvaltare bör utses för system och applikationer Låg Noteringar avseende VAS Låg 9

10 5.1 IT-Strategi Observationer och rekommendationer Ansvar och mandat avseende IT (mellan) Vid vår granskning har vi noterat att verksamheten upplever en stor otydlighet och osäkerhet avseende vem som har mandat att besluta gällande strategiska IT-frågor för Region Halland. Ett eråd har införts under hösten 2012 som skall ta beslut i strategiska frågor. Bristen av ett tydligt ledarskap inom IT med övergripande ansvar och förståelse ökar risken att felaktiga beslut tas, beslut ej fattas eller drar ut på tiden vilket skapar osäkerhet och ineffektivitet inom organisationen. Vi rekommenderar Region Halland att förtydliga ansvar och roller inom IT så att det finns en person eller forum (t ex erådet) som har ett tydligt ansvar och mandat att leda och ta strategiska beslut inom IT. Detta bör sedan tydligt kommuniceras till verksamheten. Efter s granskning 2012 har ansvar och mandat avseende IT förtydligats. En IT-strateg har anställts som även är ordförande i erådet. IT-strategen ansvarar för den centrala utvecklingsbudgeten samt att IT-strategen äger frågan avseende införande av förvaltningsmodellen. Vidare har erådet tagit fram IT-policyn som har förtydligat ansvaret och styrningen av IT-verksamheten inom Region Halland. Då en IT-strateg har anställts, att erådet har fått mandat att ta beslut genom erådets ordförande/it-strateg samt att det finns en IT-policy, anser vi att denna iakttagelse är åtgärdad. 10

11 5.1 IT-Strategi Observationer och rekommendationer Förtydliga och utveckla Region Hallands IT-strategi (hög) Det finns många intressenter avseende utvecklandet av IT inom regionen t ex vad verksamheterna själva vill göra, samarbete med Hallands kommuner och privata vårdgivare samt nationella intressen och krav för att nämna några. Region Halland säger sig följa CeHis nationella strategi för ehälsa men det har ej tagits något formellt beslut på att denna skall följas samt att det saknas dokumentation avseende hur Region Halland skall förhålla sig till den nationella strategin. Vidare har vi ej kunnat identifiera en IT-strategi inom områden som inte är hänförliga till vården och ej då heller någon underliggande handlingsplan som är mycket viktig i framtagande av en IT-strategi. Risken är att Region Halland, som är ett relativt litet landsting, tar felaktiga strategiska beslut inom ramen för IT vilket kan få konsekvenser i form av felaktigt utnyttjande av resurser och ökade kostnader. Vi rekommenderar att regionen tar fram, förankrar och kommunicerar en IT-strategi som anger regionledningens mål, prioriteringar och processer för användandet av IT för hela Region Halland, som möjliggörare för effektivisering och ökad service till medborgarna. Detta inkluderar även en handlingsplan som tydligt beskriver vad som skall göras inom IT de nästkommande tre till fem åren och som besvarar hur Region Halland exempelvis skall nå CeHis nationella strategi. Exempel på kategorier som bör ingå i en IT-strategi är tjänsteleverans, arkitektur, organisation, sourcing. Sedan s granskning 2012 har två stycken dokument tagits fram, IS/IT-policy och Riktlinjer för verkställande av genomförande av IS/ITpolicy. Dessa två dokument beskriver, styrning, förvaltning och leverans av IS/IT-verksamheten inom Region Halland. Det är mycket positivt att Region Halland har tagit fram en dessa dokument som tydliggör styrningen av IS/IT-verksamheten inom regionen, detta är en stor skillnad mot föregående granskning då dessa dokument inte fanns på plats. Vi rekommenderar fortsatt att regionen tar fram, förankrar och kommunicerar en IT-strategi som anger mål, prioriteringar och processer för användandet av IT för hela Region Halland, som möjliggörare för effektivisering och ökad service till medborgarna. 11

12 5.1 IT-Strategi Observationer och rekommendationer Tjänstekatalog och kostnadsfördelningsmodellen (mellan) IT-infrastrukturkostnader som RGS IT levererar i form av backuptagning, helpdesk, applikationsutveckling, mailtjänst fördelas idag ut av RGS IT som en overheadkostnad till verksamheten. Detta är inte en bra styrmodell. För att förtydliga den faktiska kostnaden för infrastruktur är RGS IT på väg in i en intäktsfinansierad modell där kostnader för tjänster hänförliga till PC/arbetsplats kommer att internfaktureras från 1 januari 2013 mot verksamheten. Detta är ett led i att ha en fullständig tjänstekatalog från 1 januari 2014 vilket på ett tydligt sätt ökar transparensen för IT-kostnaden inom regionen. Vi har även noterat att t ex Hallands sjukhus själva ansvarar för kostnaden avseende hårdvara, reinvesteringar och licenser för verksamhetssystem. Nuvarande fördelningsmodell avseende kostnader för drift inom RGS IT är inte transparent och visar inte tydligt kostnaden hänförligt till den leverans som verksamheten får. Vi rekommenderar att regionen fullföljer sin plan att införa en tjänstekatalog till 1 januari 2014 vilket kommer att öka transparensen avseende IT-kostnaderna inom regionen samt att verksamheterna kommer att ha större möjligheter att påverka sina IT-kostnader. Arbetet med tjänstekatalogen kommer även att tydliggöra de krav som verksamheten ställer på RGS IT då de på ett tydligare sätt betalar för en tjänst och utvärdering av denna modell bör göras löpande efter införandet (se även punkten avseende SLA med förvaltningsobjekten). Regionen har infört internfakturering från 1 januari 201 3, verksamheten uttrycker dock att det tycker att modellen avseende internfakturering inte är transparent. Vidare finns det ingen tjänstekatalog på plats som beskriver de IT-tjänster RGS IT levererar till verksamheten. Vi rekommenderar fortsatt att regionen fullföljer sin plan att införa en tjänstekatalog. Regionkontoret bör även se över internfakturering och säkerställa att det tydligt framgår vad det är som faktureras. 12

13 5.1 IT-Strategi Observationer och rekommendationer Organisation MTH och RGS IT (låg) Region Halland har en uttalad IT-organisation inom RGS IT samt Medicintekning Halland (MTH) inom Hallands sjukhus som ett vårdnära systemstöd. MTH är en strukturerad organisation som stödjer vårdverksamheten och ställer även krav på tjänsteleveransen från RGS IT. Vår bild är att samarbetet mellan MTH och RGS IT fungerar men att det finns behov av att tydliggöra nuvarande ansvar och samverkansformer för dessa organisationer. Risken av att inte ha en tydlig uppdelning mellan dessa organisationer leder till ineffektivitet i det interna arbetet och mot externa leverantörer samt att hantering av händelser i IT-systemen kan försvåras. Vi rekommenderar att roller och ansvar mellan MTH och RGS IT tydliggörs för att skapa en god grund för att utveckla IT inom vården på ett effektivt sätt t ex i utnyttjandet av varandras kompetenser. Vi noterar i vår granskning att samarbetet har blivit bättre. Exempelvis hyr MTH idag tekniker på deltid (80 %) från RGS IT som arbetar med de system som tillhör MTH för att kunskapen avseende MTHs system ska öka hos RGS IT. MTH är dock fortsatt en egen avdelning vilket innebär utmaningar avseende exempelvis behörigheter för driften av MTHs system. Vi rekommenderar att MTH och RGS IT klargör samverkansformerna ytterliggare exempelvis avseende behörighetstilldelning. 13

14 5.1 IT-Strategi Observationer och rekommendationer Förståelse för den totala IT-kostnaden inom Region Halland (låg) Inom Hallands sjukhus finns separata IT-budgetar för inköp av hårdvara (t ex arbetsstationer och annan IT-utrustning), licenser för verksamhetsspecifika system och utvecklingskostnader kopplade till dessa. Vår förståelse är att dessa kostnader hanteras inom respektive sjukhus utanför RGS IT budget vilket skapar svårigheter att få en överblick avseende vad IT kostar inom regionen på en total nivå. Risken att inte ha en samlad förståelse för IT-kostnaden inom regionen kan leda till ineffektivt användande av resurser. Vi rekommenderar att regionen se över nuvarande modell för inköp av PC för att öka kontrollen av de större inköpen av IT-utrustning vilket även bör vara en del i en framtida tjänstekatalog där PC köps in som en tjänst från en central leverantör. Vidare bör en process skapas avseende vad IT kostar totalt för att skapa ytterligare ett verktyg i att styra IT inom regionen. Numera är det endast hårdvaran som inte är en del av den samlade IT-kostnaden det vill säga eplanen. Det finns även tydliga instruktioner avseende hur IT-kostnader skall bokföras, vilket är viktigt för att få en homogen bokföring igenom hela landstinget. Vi rekommenderar fortsatt att regionen även ser över nuvarande modell för inköp av hårdvara för att öka kontrollen av de större inköpen av ITutrustning. Vidare bör en process skapas avseende vad IT kostar totalt för att skapa ytterligare ett verktyg i att styra IT inom regionen, tex. att samla alla kostnader i eplanen. 14

15 5.2 IT-leverans Observationer och rekommendationer Region Hallands styrmodell för systemförvaltning (hög) Ett beslut togs 2008 att systemförvaltningsmodellen PM3 skulle användas för hela regionen. Vid granskningstillfället har ett 30-tal av regionens större system inkorporerats in i modellen av regionens mer än 300 system, dock saknas fortfarande t ex röntgen och tandvårdens system. En anledning till varför införandet har dragit ut på tiden är att det inte sätts av tillräckligt med resurser för att bemanna de olika rollerna inom modellen men framförallt för att det saknats en person som har det övergripande ansvaret för genomförandet och att driva arbetet. Det är även tydligt att det saknas ambition och resurser för att införa och utveckla befintlig modell ute i verksamheterna. Under året har det införts ett eråd som skall fungera som strategisk beslutsfattare inom IT och som även skall utarbeta en IT-strategi för Region Halland. Risken med att ha system utanför PM3 är att de faktiska fördelarna med en systemförvaltningsmodell ej utnyttjas. Vi rekommenderar att regionen tar ett förnyat beslut avseende införandet av systemförvaltningsmodellen PM3 och att arbetet intensifieras för att införa modellen. Vidare bör någon i ledande befattning ta ett tydligt ägarskap av modellen och införandet för att säkerställa att projektet genomdrivs enligt den plan som även bör slås fast. Detta införande tror vi kommer att leda till bättre styrning och kontroll av regionens ITsystem, ökad kommunikation och kvalitet i beslut samt ökad effektivitet vid utveckling av nya system eller funktionalitet baserat på användarnas behov. Det finns en ansvarig person för införandet av modellen (erådets ordförande) samt en projektledare som är operativt ansvarig för införandet av modellen. Förvaltningsmodellen har omarbetats från grunden i syfte att ta fram en fullständig förvaltningsmodell och under 2014 avslutades arbetet med att ta fram en fullständig modellbeskrivning, kallad förvaltningsobjektsarkitektur (FOA). I den nya modellbeskrivningen har nya objekt tillkommit samt att gamla objekt har omarbetats i syfte att hela IT-verksamheten ska omfattas av modellen. Under 2015 har arbetet påbörjats med att realisera och införa den nya modellbeskrivningen. I dagsläget har ett 80-tal av regionens system inkorporerats in i modellen men fortfarande finns majoriteten av regionens system utanför modellen. Vi har dock vid vår granskning noterat att det kvarstår praktiska problem när det gäller resurser; dels finansieringen men även bemanningen av de olika rollerna i förvaltningsmodellen. Tanken är att om linjeorganisationen lånar ut personal till förvaltningsmodellen ska modellen betala ut ersättning till linjeorgansationen men detta sker inte konsekvent idag. Vidare har regionen idag svårt att bemanna alla rollerna inom förvaltningsmodellen vilket gör att vissa roller riskerar bli obemannade. 15

16 5.2 IT-leverans Observationer och rekommendationer När förvaltningsmodellen har införts kommer beslut kopplat till systemförvaltning inte längre tas i linjeorgansationen utan i förvaltningsmodellen. Det har uttryckts en oro över att det kan bli svårt att förmedla modellens mandat och att det inte längre är linjeorganisationen som tar besluten kopplat systemförvaltning. Risken om alla roller inte bemannas i förvaltningsmodellen är att modellen inte kommer fungera i praktiken. Om inte heller ersättning till linjeorganisationen fungerar samt att regionen inte säkerställer att personal i linjeorganisationen faktiskt har tid att arbeta i förvaltningsmodellen ökar detta ytterliggare risken med att roller förblir obemannade. Vi rekommenderar att regionen utreder och säkerställer hur modellen ska bemannas samt hur den ekonomiska ersättningen till linjeorganisationen ska bli konsekvent. Vidare rekommenderar vi att regionen säkerställer att anställda i verksamheten som påverkas av förvaltningsmodellen förstår hur den fungerar, framförallt vad dess mandat är. 16

17 5.2 IT-leverans Observationer och rekommendationer IT-säkerhet (hög) Region Halland är certifierade enligt ISO27001 (ledningssystem för informationssäkerhet) vilket är mycket positivt ur en IT-säkerhetssynpunkt. Vid intervjuer med respondenter samt granskning av den riskanalys som RGS IT server och kommunikation själva gjort har vi dock noterat att: - rollen IT-säkerhetsansvarig saknas - ISSO-nätverket inom regionen arbetar med IT- och informationssäkerhet dock ser respondenterna brister i att informationen från nätverket inte når verksamheten på samma sätt som om de skulle ingått i en linjeorganisation - det saknas kontinuitetsplan för större kritiska system (dock ej VAS) - det saknas en redundant miljö för VAS - flera system saknar loggningsfunktionalitet avseende förändringar i data - dokumenterad avbrottsplan för IT saknas - uppdaterade SLA saknas för att på ett formellt sätt kravställa t ex tillgänglighet av ett system - en formell risk- och sårbarhetsanalys för telefoni har ej utförts men har beställts Vi rekommenderar Region Halland att snarast möjligt avsätta resurser för att hantera de mer väsentliga punkterna inom IT-säkerhet där ovan nämnda är några. Vilken prioriteringsordning som skall tillämpas är upp till regionen, dock bör redundant produktionsmiljö för VAS vara något som hanteras omgående och där beställning är gjord inför Region Halland har utfört omfattande riskkartläggningar avseende informationssäkerhet. Vi noterar dock att det fortsatt saknas en ITsäkerhetsansvarig. RGS IT har en kontinuitetsplan för sin verksamhet men att denna inte är tillräckligt omfattande, exempelvis saknas nätverksbeskrivning av regionnätet och beskrivningar alternativt hänvisningar till manuella rutiner som ska användas vid ett avbrott. Regionen har tagit fram Bas-SLA avseende RGS IT gentemot verksamheten däremot saknas systemspecifika SLA. Vi noterara även fortsatt att flera system saknar loggningsfunktionalitet avseende förändringar i data. Vi rekommenderar fortsatt Region Halland att snarast möjligt avsätta resurser för att hantera de mer väsentliga punkterna inom IT-säkerhet. Vilken prioriteringsordning som skall tillämpas är upp till regionen. 17

18 5.2 IT-leverans Observationer och rekommendationer Nyckeltal och mätning (mellan) Vid vår granskning har vi noterat att det görs uppföljning av nyckeltal för att mäta och följa upp vad RGS IT levererar i form av t ex utförda helpdesk ärenden. Vår förståelse är att det saknas nyckeltal för mätning av IT på en övergripande nivå samt att resultatet av den uppföljning som görs ej sammanställs och redovisas på ledningsnivå för att sedan följas upp av aktiviteter. I detta följer även frågan avseende vem som skall ansvara för dessa beslut. Otydliga krav från ledningen kan leda till att det inte finns en klar målbild, vilket kan medföra att IT gör fel prioriteringar samt att målbilden inte är överensstämmande med verksamhetens förväntningar på IT-leveransen. Vi rekommenderar att det införs nyckeltal med utgångspunkt från de övergripande målen som regionen har inom IT. Nyckeltalen kan förslagsvis tas fram av erådet som i nuläget är det övergripande forum som Region Halland har inom IT, för att därefter fastställa hur en strukturerad återrapportering bör hanteras. Rapporteringen och uppföljningen bör integreras med regionens övriga styrnings- och ledningsprocess för att inte bli ett sidospår. Vi noterar att det fortsatt saknas nyckeltal för mätning av IT på en övergripande nivå samt att resultatet av den uppföljning som görs ej sammanställs och redovisas på ledningsnivå för att sedan följas upp av aktiviteter. I detta följer även frågan avseende vem som skall ansvara för dessa beslut. Vi rekommenderar fortsatt att det införs nyckeltal med utgångspunkt från de övergripande målen som regionen har inom IT. Nyckeltalen kan förslagsvis tas fram av erådet som i nuläget är det övergripande forum som Region Halland har inom IT, för att därefter fastställa hur en strukturerad återrapportering bör hanteras. Rapporteringen och uppföljningen bör integreras med regionens övriga styrnings- och ledningsprocess. 18

19 5.2 IT-leverans Observationer och rekommendationer Mall vid upphandling av IT-system (låg) Vår förståelse är att det ej finns en mall för stöd vid upphandling av IT-system avseende t ex investeringar och kostnader för drift av systemet och kompatibilitet med övrig IT-miljö. Vi har i granskningen noterat att det saknas förståelse för de driftskostnader som inköp av ett nytt system för med sig varför kostnader blir högre än förväntat. Risken är att det system som köps in ej är kompatibelt med IT-miljön eller att kostnaden efter implementering av systemet överstiger regionens förväntningar och driver extra kostnader för investeringen. Vi rekommenderar att regionen inför en mall för upphandling av IT-system. Denna mall kan vara separat eller införas som en del av den befintliga projektmodellen som används inom regionen och kan stötta verksamheten och lyfta frågor som de själva möjligen inte har tänkt på. Sedan granskningen 2012 äger infrastrukturfamiljen numera ansvaret för upphandlingen vid inköp av infrastruktur. Utöver detta är vår förståelse att det fortsatt inte finns en mall för stöd vid upphandling av IT-system avseende t ex investeringar och kostnader för drift av systemet och kompatibilitet med övrig IT-miljö. Vi rekommenderar fortsatt att regionen inför en mall för upphandling av IT-system. Denna mall kan vara separat eller införas som en del av den befintliga projektmodellen som används inom regionen och kan stötta verksamheten och lyfta frågor som de själva möjligen inte har tänkt på vid inköp av nya IT-system. 19

20 5.2 IT-leverans Observationer och rekommendationer RGS IT (mellan) RGS IT upplevs ha en stor vilja att hantera verksamhetens behov avseende krav på IT-stöd men tid och resurser saknas för att hantera dessa på ett fullgott sätt. Samtidigt kommer nya system in i IT-miljön som skall driftas och monitoreras etc. Enligt respondenterna finns det även utmaningar i att hantera system som kräver djupare teknisk kompetens samt att det för vissa system kan det finnas personberoenden. Dessa utmaningar bottnar i att det idag saknas definierade krav från verksamheten i SLA samt att det saknas en tydlig, dokumenterad och kommunicerad IT-strategi för Region Halland som kan stötta i att strukturera arbetet och kompetenser på ett bättre sätt. Det finns en risk att resurser fördelas på ett felaktigt sätt vilket får konsekvenser på hela IT-miljön inom Region Halland t ex avseende resursallokering och kompetens. Vi rekommenderar att regionen; skapar en IT-strategi med tillhörande handlingsplan som täcker alla verksamheter inom Region Halland (och inte bara vården), skapar en plan för infrastrukturfamilj inom PM3 för 2012, fortsätter sitt arbete med att skapa nya SLA med objekten inom PM3 samt arbetar vidare med tjänstekatalogen för att tydliggöra transparens avseende vad respektive tjänst kostar. Dessa aktiviteter tror vi ökar strukturen och förståelsen för vilka områden som bör fokuseras på. Infrastrukturfamiljen har skapats i den omarbetade förvaltningsmodellen. Vidare har ett generellt SLA (bas-sla) skapats samt att systemspecifika SLA är under utveckling. Vi noterar att RGS IT fortsatt upplever en personalbrist samt att det kommer behöva rekryteras ytterliggare personal när förvaltningsmodellen är fullt implementerad. Personberoendet för vissa system kvarstår, det finns dock en stor förhoppning om att förvaltningsmodellen kommer förenkla styrningen av RGS IT. Vi rekommenderar fortsatt att regionen; skapar en IT-strategi med tillhörande handlingsplan, fortsätter sitt arbete med att skapa nya SLA med samt arbetar vidare med tjänstekatalogen för att tydliggöra transparens avseende vad respektive tjänst kostar. Dessa aktiviteter tror vi ökar strukturen och förståelsen för vilka områden som bör fokuseras på. Vidare rekommenderar vi även att regionen säkerställer att RGS IT har tillräckligt med personal för att kunna möta de krav som ställs på RGS IT genom BAS-SLAet och kommande systemspecifika SLA. 20

21 5.2 IT-leverans Observationer och rekommendationer Införande av SITHS korten (låg) Regionen använder idag SITHS-kort för autentisering till vissa system och anpassningar pågår. Användandet av SITHS-korten stärker ITsäkerheten då identiteten för användaren styrks. Vid våra intervjuer har vi noterat att användarna upplever att det för vissa moment, där t.ex. byte av dator ingår, upplever användandet av SITHS-korten som ett hinder i arbetet. Vi har även noterat att det inte funnits något projekt avseende hur korten praktiskt skall hanteras för vissa system och processer. Risken är att införandet av SITHS-korten i system får stor inverkan på processen som de är tänkta att säkra. Vi rekommenderar att dialogen kring hur SITHS-korten skall användas förbättras innan införandet för att förstå vilka implikationer det får på det dagliga användandet av korten. SITHS-kortet är ett passerkort genom dörrar men ska även användas för att dokumentera i journaler. Vid skyndsamma situationer upplevs kortet som en extra administrativ börda. SITHS-korten upplevs fortfarande vara ett hinder i arbetet framförallt inom hälso- och sjukvården. Det pågår ett projekt där möjligheten med trådlösa anslutningar utreds där det ska räcka med att personalen endast har kort på sig. Vi rekommenderar fortsatt att dialogen kring hur SITHS-korten skall användas förbättras innan införandet, för att förstå vilka implikationer det får på det dagliga användandet av korten. 21

22 5.3 Teknologi Observationer och rekommendationer Patchning av servrar (låg) Vid vår granskning har vi noterat att det finns flera servrar där patchning av servrar ej har gjorts. Avsaknad av patchning beror framförallt på att ändringen ej får göras utifrån att systemet är CE-certifierat och att systemleverantören inte accepterar ändringar i sina system. Att inte patcha och uppdatera operativsystemen kan leda till säkerhetshål och minskad tillgänglighet. Vi rekommenderar att regionen ser över sina interna rutiner och kommunikation mot systemleverantörer för patchning av servrar, mycket för att minska risken för att system ej har en tillräcklig säkerhetsnivå. Arbetet med automatpatchning bör fortsätta för att effektivisera arbetet inom RGS IT. RGS IT ansvarar idag för ca 600 servrar där merparten är autopatchade. En driftsgrupp som består av tre heltider som kontinuerligt ska arbeta med patchning och backup/återläsning kommer skapas under hösten Driftsgruppen ska ersätta all befintlig hantering av patchning och kommer även hantera ärenden från servicedesken. Vi noterar dock att det finns CE-certifierade servrar som RGS IT inte har rätt att uppdatera och det är oklart om dessa är uppdaterade. Därmed kvarstår risken med att inte patcha och uppdatera operativsystemen kan leda till säkerhetshål och minskad tillgänglighet. Vi rekommenderar fortsatt att regionen ser över sina interna rutiner och kommunikation mot systemleverantörer för patchning av CE-certifierade servrar, för att minska risken för att system ej har en tillräcklig säkerhetsnivå. 22

23 5.4 Personal Observationer och rekommendationer Gemensamma arbetssätt inom VAS (låg) Vid våra intervjuer har vi noterat att det finns olika arbetssätt i journalsystemet VAS. Det pågår ett förbättringsarbete för att homogenisera processerna mellan sjukhusen. Vi har svårt att bedöma vilken påverkan nuvarande användning har, dock bör mer homogena processer mellan sjukhusen leda till effektivitetsvinster, kunskapsdelning samt ökad kvalitet. Vi rekommenderar att Region Halland fortsätter med sitt arbete att homogenisera processerna inom VAS. Vi har i vår granskning noterat att förändringar har skett till exempel att de olika sjukhusen inom regionen har blivit ett storsjukhus vilket skapat bättre förutsättningar för skapande av homogena processer. Vid uppgraderingar eller förändringar i VAS utbildas de anställda i hanteringen av systemet. Enligt våra respondenter finns det fortfarande arbete kvar att göra varför vi rekommenderar att Region Halland fortsätter sitt arbete med att homogenisera processerna inom VAS. 23

24 5.4 Personal Observationer och rekommendationer Förståelse för PM3 (låg) Vid vår granskning har vi noterat att vissa personer som arbetar inom PM3 upplever att de inte helt förstår rollen och vad de skall göra trots att de har jobbat inom modellen i flera år. Risken är att PM3 inte får den effekt och genomslag i organisationen som förväntas, om de som omfattas av den inte förstår och sedan utövar modellen på ett effektivt sätt. Vi rekommenderar att Region Halland ser över utbildningsinsatser för att stärka personalens kompetens inom PM3 för att effektivisera interna processer och utvecklandet av IT inom Region Halland. Det är vår förståelse att de anställda som idag har en roll i förvaltningsmodellen förstår den och vad dess syfte är. Denna förbättring beror på fortsatt utbildning samt att modellen har tydligare blivit en del av arbetssättet inom Region Halland. Då förståelsen för respektive roll idag är högre anser vi att denna iakttagelse är åtgärdad. 24

25 5.5 System och applikationer Observationer och rekommendationer Drift av likvärdiga system samt systemförteckning (mellan) Region Halland använder sig idag av tre olika röntgensystem vilket enligt respondenterna beror på historiska skäl. Detta är stora system där det finns uppenbara fördelar och effektivitetsvinster med att endast ett system används. En stor utmaning för ett landsting är att ha en total systemförteckning. Vi har noterat att en fullständig systemförteckning saknas dock har regionen kommit en god bit på vägen genom Windows7 projektet under Risken vid användande av flera system för samma process är att t ex samordningsvinster, kompetensdelning, licenskostnader, drift uteblir. Avsaknad av systemförteckning leder till dålig kontroll av IT-miljön och i värsta fall till att inköp av nya system görs i onödan. Vi rekommenderar Region Halland att se över vilka system som används idag och vilka som på sikt går att fasa ut. Vidare bör arbetet med en total systemförteckning fortsätta för att få en god bild över vilka system som driftas idag. På denna systemförteckning rekommenderar vi att även uppgifter avseende underliggande operativsystem och databaser noteras. Vi noterar att Region Halland fortfarande använder sig av tre olika röntgensystem, det pågår dock ett projekt (Målarkitektur för Region Hallands IT) med syftet att kraftigt öka kunskap och kontroll av den övergripande behovsbilden av IT-tjänster i Region Halland. Att konsolidera röntgensystemen är en del av detta projekt. En fullständig systemförteckning har tagits fram sedan förra sedan granskning 2012 och omfattar alla applikationer som kräver en lokal installation samt ett antal webapplikationer. Vi rekommenderar att Region Halland fortsätter sitt projekt för att stärka kunskapen och kontrollen av den övergripande behovsbilden av IT-tjänster inom regionen. 25

26 5.5 System och applikationer Observationer och rekommendationer Systemägare och systemförvaltare bör utses för system och applikationer (mellan) Under granskningen har noterats att samtliga system inte har en systemägare och systemförvaltare vilket primärt avser de system som idag ligger utanför PM3. Utan klara ansvar och roller för systemen inom regionen finns en risk att arbetet med förvaltning och drift av systemen blir ineffektivt. Regionen rekommenderas uppdatera den befintliga lista som finns med information om aktuella systemförvaltare och systemägare. I de fall systemägare inte har utsetts rekommenderas att så sker. Vi noterar att system utanför förvaltningsmodellen fortfarande saknar systemägare och systemförvaltare. System som i dagsläget står utanför förvaltningsmodellen kommer hamna i en ny familj i modellen som avser övriga system, erådets ordförande kommer vara ägare av denna familj. Detta är arbete är dock ännu inte slutfört. Regionen rekommenderas att slutföra arbetet med att samla de system som ska tillhöra familjen övriga system i förvaltningsmodellen. 26

27 5.5 System och applikationer Observationer och rekommendationer Noteringar avseende VAS (låg) Vid vår granskning har vi noterat följande punkter i relation till journalsystemet VAS: En extern läkemedelsmodul har upphandlats för att befintlig läkemedelsmodul som Norrlands läns landsting använder ej ansågs vara patientsäker av Region Halland. Enligt uppgift gjordes det inte en ordentlig utredning i upphandlingsfasen huruvida utveckling av befintlig läkemedelsmodul i VAS skulle kunna vara ett alternativ till den externa läkemedelsmodulen. Användarna inom Region Halland anser att deras behov för ny funktionalitet inom VAS ej får tillräckligt med uppmärksamhet. earkivet i VAS anses ej fungera tillfredsställande då många anser att det tar lång tid att få fram information. RGS IT har inte tillräcklig teknisk kompetens och/eller beställarkompetens som kan stötta vid frågor kring teknik/arkitektur i VAS, utan dessa frågor måste hanteras via leverantören. Regionen står inför utmaningar att implementera de nya modulerna som skall införas med hänsyn till utbildning och tid för att lära sig systemet. Vi rekommenderar att återkopplingen mellan de som lyfter behoven och de som mottar dem för VAS inom regionen förbättras samt att regionen ser över behovet av att ha ökad teknisk VAS kompetens för att möjligen kunna hantera vissa tekniska frågor själva eller att öka beställarkompetensen mot leverantören av systemet. Vid utrullning av de nya modulerna inom VAS bör regionen avsätta resurser för att säkerställa att rätt arbetsmetoder används från start. En analys bör även göras avseende om regionen behöver mer teknisk kompetens avseende VAS. Vidare bör regionen utvärdera om det är väsentligt att förbättra prestandan avseende earkivet. Se nästa sida. 27

28 5.5 System och applikationer Observationer och rekommendationer Noteringar avseende VAS (låg) Region Halland har beslutat att VAS på sikt ska avvecklas. E-arkivet har fått prestandaförbättringar vilket gör att det går snabbare samt att regionen håller på att utreda om de kan använda Norrbottens läns lösning (e-arkivet direkt i journalen). Numera finns två IT-tekniker som arbetare dedikerat med VAS, vilket gör att RGS IT på ett bättre sätt kan tillhandahålla support till användarna. Då Region Halland har beslutat att avveckla VAS anser vi att denna iakttagelse är åtgärdad. 28

29 Avslutning Vi vill ta tillfället i akt att tacka deltagarna i granskningen och Region Halland för ett vänligt bemötande och gott samarbete. Vid frågor om översynen kan Andreas Crusell eller Martin Magnusson kontaktas. Göteborg september 2015