Systemförvaltning. Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Relevanta dokument
Systemförvaltning - en uppföljande granskning

Universitetsgemensam förvaltningsmodell IT-avdelningen, Stockholms universitet

System- och objektförvaltning - roller

Först inför vi pm 3. nu kommer utmaningarna. Isabelle Isaksson, CSN Ann-Louice Hammarberg, Castrix

Uppföljande granskning av landstingets strategiska råd och grupper

Landstingets ärende- och beslutsprocess

Ansvar och roller för ägande och förvaltande av informationssystem

Systemförvaltning av IT-system

Generella IT-kontroller uppföljning av granskning genomförd 2012

Innehåll. pm3 licens pm3 modellbeskrivning Stöd för tillämpning 7. Stöd för kompetensutveckling 9

pm 3 version 2.0 Cecilia Åkesson, På AB Copyright På AB

Förvaltningshandbok HANDBOK. Informerande dokument Information. Sida 1 (19) Systemförvaltning. PUBLICERINGSDATUM ANSVARIG Irene Lundmark

Regionstyrelsen efterlevnad av reglemente. Region Gävleborg

Avvikelsehantering och kunskapsåterföring - uppföljning

Intern styrning och kontroll

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

Regionstyrelsen

Granskning intern kontroll

Landstingsstyrelsens uppsikt över följsamhet till fullmäktiges reglemente för intern kontroll

FÖRVALTNINGSGUIDE FGUIDE FÖR STOCKHOLMS STAD

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Revisionsrapport Uppföljning av granskning förtroendevaldas anspråk på förlorad arbetsförtjänst

Journalsystem och informationssäkerhet

Styrning av behörigheter

Granskning av landstingsstyrelsens kontroll över ledningssystemet år 2016

Granskning av Samordningsförbundet i Kramfors Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Uppföljande granskning av landstingsstyrelsens kontroll över konstföremål

Kundfordringar en uppföljande granskning

Intern kontroll och riskbedömningar. Sollefteå kommun

Hantering av privata medel. Söderhamns kommun

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

Projekthantering uppföljning

Dokument: Objektägare-ITs placering. Författare Malin Zingmark, Förnyad förvaltning

Regionens uppföljning av externa utförare inom primärvården

Uppföljningsrapport IT-revision 2013

Årlig granskning av Patientnämnden - Etiska nämnden Revisionspromemoria. LANDSTINGETS REVISORER Revisionskontoret

Grundläggande granskning av fullmäktiges beredningar 2017

Förvaltningsplan mall

Landstingets ärende- och beslutsprocess - uppföljning

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

Systematisk egenkontroll inom brandskyddet

Granskning av Samordningsförbundet i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Revisionsrapport: Uppföljning av rapport Genomlysning av IFO

Granskning år 2015 av folkhögskolestyrelsen för Vindelns och Storumans folkhögskolor

Mittuniversitetets riktlinjer för systemförvaltning

Avesta kommun. Intern kontroll Uppföljning av revisionsgranskning

Granskning av Samordningsförbundet i Ånge Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Grundläggande granskning Kostnämnden i Örnsköldsvik 2017 Revisionsrapport

Granskning av årsredovisning 2016 samt landstingsstyrelsens styrning, uppföljning och interna kontroll

Grundläggande granskning av Kostnämnden i Örnsköldsvik Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

Granskningsredogörelse Strategisk styrning

Emil Forsling Auktoriserad revisor. Revisionsrapport Övergripande granskning av intern kontroll inom Landstinget Dalarna 2014

REVISIONSKONTORET REVISIONSRAPPORT Gemensam nämnd för samordnad upphandling, lagerhållning och distribution av sjukvårdsprodukter

Beredning av beslutat investeringsutrymme

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete

Årsrapport NU-sjukvården Diarienummer REV

Uppföljande granskning av utbetalda ersättningar i Hälsovalet DECEMBER 2015

Kommunstyrelsens ekonomistyrning

Systemförvaltningsmodell för LiU

/6-~c~Æ ~v{; _e/ Elisabeth Friberg, vice ordförrupe. .lile fj ~ C'" Till Kommunstyrelsen

Granskning av systemförvaltning för journalsystemet Cosmic

Granskning år 2014 av museistiftelserna

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Granskning av Intern kontroll

Systemförvaltning. där delarna bli till en helhet. Styrning. Organisation. Processer. Jessika Svedberg, Kommunkansliet

Folktandvårdens intäkter -uppföljning

pm3 Licens LICENS

Ägarstyrning och uppsikt. Skellefteå Stadshus AB

Lokala regler och anvisningar för intern kontroll

Landstinget Kronoberg

Övergripande granskning av kommunstyrelsens styrning och uppföljning av ekonomi och verksamhet (styrmodell)

Landstinget i Kalmar Län

Revisionsrapport Karolinska Institutet Stockholm

Granskning av förmånsbilar

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Granskning av glesbygdsmedicinskt centrum

Projekt inom utvecklingsenheten

Förändring av den politiska organisationen

Revisionsrapport Barn och unga som far illa eller riskerar att fara illa - granskning av samverkan

Revisionsrapport Avtalstrohet

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Granskning av landstingsstyrelsens styrning och uppföljning av planerat fastighetsunderhåll

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

Granskning år 2015 av patientnämnden

Revisionsrapport Marie Lindblad Certifierad kommunal revisor ErikJansen Revisionskonsult mars 2017 pwc

Granskning av kostnämnden i Lycksele år 2016

Landstingets internkontrollarbete år 2012

Missiv 1 (2) Dnr REV/6/2011

Intern kontroll och riskbedömningar. Strömsunds kommun

Kalmar kommun Uppföljande granskning Granskning av lönehanteringen

Uppföljningsrapport IT-generella kontroller 2015

Rätt intäkter - uppföljning

Revisionsrapport Miljöarbetet inom Region Östergötland

Revisionsrapport 1 / 2010 Genomförd på uppdrag av revisorerna juni Haninge kommun. Granskning rörande kostnader Ungdomens hus

Informationsöverföring. kommunikation med landstinget - uppföljande granskning

Revisionsrapport Kommunala kontokort Haparanda stad Bo Rehnberg Cert. kommunal revisor Martin Gandal

Skellefteå Kraft Energihandel

Uppföljande granskning av överförmyndarverksamheten

Granskning år 2012 av patientnämnden

Transkript:

Systemförvaltning Revisionsrapport LANDSTINGETS REVISORER

2018-01-24 17REV66 2(15) Sammanfattning Landstingets verksamheter stöds i stor utsträckning av IT-system. För att säkerställa att systemen fungerar på bästa sätt i verksamheten är det väsentligt att systemförvaltningen är effektiv. Syftet med granskningen har varit att bedöma regionstyrelsen har säkerställt att den interna kontrollen av systemförvaltningen är tillräcklig, bl.a. med inriktning mot förvaltningsplaner, bemanning, riskanalyser och uppföljning/rapportering. Sammanfattande bedömning Vi bedömer sammanfattningsvis att styrelsen inte har säkerställt att den interna kontrollen av systemförvaltningen har varit tillräcklig. Granskningen har bl.a. visat att styrelsens beslut år 2011 att införa pm 3 s förvaltningsmodell för samtliga IT-system i landstinget med ett succesivt införande år 2012 inte har implementerats annat än delvis år 2017. Att cirka hälften av förvaltningsobjekten vid granskningstidpunkten inte var etablerade kan inte anses s tillfredsställande. Enligt vad s framkmit i granskningen har ingen uppföljning och rapportering gjorts till styrelsen s rör implementeringen av pm 3. Styrelsens riskanalys avseende den interna kontrollen har vidare inte innefattat risker in rådet. För att åstadkma en effektiv och ändamålsenlig styrning av förvaltningsverksamheten är det viktigt att behov och resurser för systemförvaltningen prioriteras och beslutas på behörig nivå. Att samtliga förvaltningsobjekt är bemannade med nödvändiga roller är vidare en viktig förutsättning för fortsatt implementering, likaså att nödvändig utbildning sker. Vi har samtidigt noterat att åtgärder har initierats och genförts under år 2016 och 2017 i syfte att förbättra styrningen. Bildandet av en FOA-styrgrupp och beslut FOA är exempel på viktiga och grundläggande beslut av betydelse. Modellen för styrning av systemförvaltning har vidare uppdaterats. Rekmendationer Nedan framgår våra främsta rekmendationer med anledning av vår granskning. Tillse att förvaltningsobjekten bemannas med gällande roller och att nödvändig utbildning ges. Tillse att det finns former för att säkerställa efterlevnaden av landstingets modell för systemförvaltning liks nödvändig rapportering till styrelsen. Samordna/anpassa processen för förvaltningsplaner till landstingets planeringscykel för verksamhetsplanering i syfte att säkerställa att systemförvaltningen stödjer verksamheten och dess mål. Beakta och bedöm risker in rådet s faller in ramen för styrelsens ansvar för den interna kontrollen.

2018-01-24 17REV66 3(15) Innehållsförteckning... 1 Systemförvaltning... 1 1 Bakgrund... 4 2 Syfte, revisionsfråga och avgränsning... 4 3 Revisionskriterier... 5 4 Metod... 5 5 Disposition... 5 6 Systemförvaltning begrepp och definitioner... 6 7 Systemförvaltning in landstinget en bakgrunds- och lägesbeskrivning.. 7 8 Resultat av granskningen... 9 8.1 Förvaltningsspecifikationer... 9 8.2 Bemanning... 10 8.3 Förvaltningsplaner... 11 8.4 Intern kontroll... 13 9 Revisionell bedömning... 14

2018-01-24 17REV66 4(15) 1 Bakgrund Landstingets verksamheter stöds i stor utsträckning av IT-system. För att säkerställa att systemen fungerar på bästa sätt i verksamheten är det väsentligt att systemförvaltningen är effektiv. År 2011 gjordes en granskning 1 av journalsystem och informationssäkerhet, s visade på flera brister med avseende på styrningen och organiseringen av systemförvaltningen. Regionstyrelsen, s ansvarar för de informationssystem s stödjer landstingets verksamheter, beslutade år 2011 att införa pm 3 s förvaltningsmodell för samtliga IT-system i landstinget med ett succesivt införande från och med 2012. Landstinget har en utarbetad modell för styrning av systemförvaltning s är baserad på ramverket pm 3. I den beskrivs hur systemförvaltningsarbetet ska organiseras, dokumenteras och styras. Revisorerna bedömer att det finns en risk för otillräcklig styrning och uppföljning och kontroll av systemförvaltningen, vilket kan leda till att systemen inte fungerar på ett tillfredsställande sätt i verksamheten. 2 Syfte, revisionsfråga och avgränsning Syftet med granskningen är att bedöma regionstyrelsen har säkerställt att den interna kontrollen av systemförvaltningen är tillräcklig. Granskningen är avgränsad till nedanstående revisionsfrågor: det finns förvaltningsspecifikationer s beskriver systemförvaltningsorganisationens ansvarsråde och fattning, förvaltningsorganisationen är bemannad med gällande roller (strategi, budget, beslut och operativ) samt de är tydliggjorda, förvaltningsplaner beslutas på behörig nivå och följs upp, det finns rutiner för rapportering av status och avvikelser och dessa efterlevs, styrelsens interna kontrollarbete, för att säkerställa att systemen stödjer landstingets verksamheter på ett tillfredsställande sätt, innefattar riskanalys och uppföljning/rapportering. 1 Dnr 11REV47

2018-01-24 17REV66 5(15) 3 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder s bildar underlag för revisionens analyser och bedömningar. Nedan framgår de huvudsakliga revisionskriterier s föreliggande granskning har baserats på: Kmunallagen 2, 6 kap. 7 Reglemente för Regionstyrelsen 3 Policy Samlad ledningsprocess 4 Landstingets Modell för styrning av systemförvaltning har även utgjort utgångspunkt för granskningen. 4 Metod Intervjuer har hållits med FUI 5 -direktör, verksamhetschef IT, planeringschef, medarbetare vid metodstöd systemförvaltning/förvaltningsstyrning, enhetschef arkitektur och metodstöd, enhetschef it-tjänster samt internkontrollsamordnare. Uppgifter och material har i övrigt inhämtats, dels från metodstöd, dels från ett urval av förvaltningsledare och objektägare. Vi har även tagit del av material i systemförvaltningsportalen, s beskrivs närmare i avsnitt 7. Revisionsrapporten har kvalitetssäkrats enligt gällande rutiner, vilket bl.a. innebär att ett utkast till rapport överlämnades för saklighetskontroll till berörda befattningshavare innan rapporten behandlades av Landstingets revisor. Regiondirektören fick vid samma tidpunkt del av utkastet till rapport. 5 Disposition Nedan beskrivs hur revisionsrapporten har disponerats vad gäller de revisionsfrågor s framgår av avsnitt 2. Revisionsfråga det finns förvaltningsspecifikationer s beskriver systemförvaltningsorganisationens ansvarsråde och fattning, förvaltningsorganisationen är bemannad med gällande roller samt de är tydliggjorda, förvaltningsplaner beslutas på behörig nivå och följs upp, 8.3 det finns rutiner för rapportering av status och avvikelser och dessa efterlevs, styrelsens interna kontrollarbete för att säkerställa att systemen stödjer landstingets verksamheter på ett tillfredsställande sätt, innefattar riskanalys och uppföljning/rapportering. Avsnitt 8.1 8.2 8.3 8.4 2 SFS 1991:900, 2018 års kmunallag 2917:725, 6 kap. 6 3 Beslutad av regionfullmäktige 2014-10-29, reviderad 2016-11-24 4 Beslutad av regionfullmäktige 2017-04-27 5 Forskning, Utbildning och Innovation

2018-01-24 17REV66 6(15) 6 Systemförvaltning begrepp och definitioner I Landstinget Västernorrland definieras 6 systemförvaltning enligt nedan: Systemförvaltning handlar att utforma, vårda och uppdatera IT-system in en organisation och brukar generellt delas in i två huvudkategorier, vidmakthållande och vidareutveckling. Vidmakthållande syftar till att upprätthålla IT-systemens befintliga kvalitet och göra det åtkligt och användbart för användarna. Vidareutveckling handlar att förbättra funktionaliteten och anpassa ITsystemet till nya förutsättningar i verksamheten eller i världen. Landstinget ska, enligt styrelsens beslut år 2011, tillämpa pm 3 s förvaltningsmodell. Syftet med landstingets modell för ändamålet är att bringa kontroll över it-stöden. På maintenance management model, d.v.s. pm 3 är en modell för förvaltningsstyrning och portföljstyrning s består av fyra modellkponenter för att säkerställa en effektiv förvaltningsverksamhet: Effektiva förvaltningsobjekt Tydliga förvaltningsuppdrag Beskrivna, förstådda, accepterade förvaltningsprocesser Affärsmässiga förvaltningsorganisationer Enligt uppgift utgår landstingets Modell för styrning av systemförvaltning från förvaltnings- och portföljstyrningsmodellen pm 3. Någon licens för pm 3 innehas dock inte av landstinget för närvarande, vilket bl.a. förklarats med att landstinget tillämpar en äldre version av modellen. Landstingets modell har i övrigt anpassats för att motsvara landstingets behov. Pm 3 :s portföljhantering ingår t.ex. för närvarande inte i landstingets modell. Förvaltningsobjekten definierar vad s ska förvaltas, vilket utgörs av både verksamhetskponenter och IT-kponenter. Exempel på verksamhetskponenter är modeller, blankettmallar, manualer, metodbeskrivningar, handböcker och utbildningsmaterial. IT-kponenter utgörs bl.a. av IT-system, applikationer, e- tjänster och databaser. De förvaltningsobjekt s tillsammans stödjer ett visst verksamhetsråde ingår i samma objektfamilj. Samtliga förvaltningsobjekt i en organisation beskrivs översiktligt i en förvaltningsobjektsarkitektur, FOA, med objektfamiljer och förvaltningsobjekt. 6 Definition enligt dokumentet Modell för styrning av systemförvaltning

2018-01-24 17REV66 7(15) 7 Systemförvaltning in landstinget en bakgrunds- och lägesbeskrivning Beslut införande av pm 3 Landstingsstyrelsen beslutade år 2011 7 att införa pm 3 s förvaltningsmodell för samtliga system i landstinget med ett succesivt införande fr.o.m. år 2012. Vid tidpunkten användes in landstinget förvaltningsmodellen Affärsmässig systemförvaltning s var en föregångare till pm 3. Syftet med en övergång till pm 3 var, enligt vad s framgår av styrelsens protokoll, att få till stånd en tydligare styrning och att verksamhetsansvariga tar på sig ett större ansvar för funktionerna i IT-stödet. Vidare framgår att Ett införande av pm3 innebär att Landstingsstaben IT:s roll renodlas till att vara en IT-leverantör och att verksamheten får ansvaret för sina system. Översyn av förvaltningsstyrningen Under år 2015 gjordes en översyn av förvaltningsstyrningen för att få en bild av hur den fungerade men också för att ge förslag på fortsatt arbete. Översynen har dokumenterats i en rapport; Styrning av systemförvaltning in Landstinget Västernorrland en översyn. I rapporten 8 konstateras att mognadsnivån för styrning av systemförvaltning in landstinget är låg, även i förhållande till andra myndigheter och landsting. Det förklaras med att modellen endast tillämpats i en mycket begränsad del av verksamheten och där den tillämpas saknas ett enhetligt arbetssätt. Projekt Med anledning av det resultat s framk i översynen startades ett projekt under början av år 2016 med följande syfte; Utforma en grundnivå i styrningen av systemförvaltning där man på längre sikt kan etablera portföljstyrning och ta fram en finansieringsmodell Enligt den projektpresentation 9 s vi tagit del formulerades även en långsiktig målbild enligt nedan: En fastslagen förvaltningsobjektsarkitektur. Bemannade förvaltningsorganisationer, inklusive styrgrupper. Framtagna förvaltningsplaner för alla identifierade förvaltningsobjekt. Förslag till beslut FOA, förvaltningsobjektsarkitektur, och FOA-styrgrupp tillställdes i mars 2017 Landstingsledningsgruppen. Regiondirektören beslutade att utse en FOA-styrgrupp och förslaget till FOA, version 1.0, godkändes. Enligt uppgift avslutades projektet under vår/smar 2017 då det överlämnades till enheten Arkitektur och metodstöd för förvaltning. Enheten tillhör verksamhetsråde IT. 7 Sammanträde 2011-12-13, 300 8 Daterad 2016-01-08, version 1.1 9 Daterad 2016-11-08

2018-01-24 17REV66 8(15) Implementering Under år 2016, samtidigt s projektet bedrevs, påbörjades arbetet med att implementera Modell för styrning av systemförvaltning med utgångspunkt från de beslut s fattats under projekttiden. Ett systemstöd; Systemförvaltningsportalen, har bl.a. utvecklats och börjat implementerats. Avsikten är att portalen ska innehålla nödvändig dokumentation, s t.ex. förvaltningsplaner. S vi uppfattat det bedöms även 2018 s ett implementeringsår. Revidering av modell Under hösten 2017 har en arbetning/uppdatering 10 gjorts av modellen för styrning av systemförvaltning vilket bland annat rör förvaltningsplaner och förvaltningsspecifikationer, se vidare avsnitt 7. Modellen har dessut kpletterats med en light-modell för sådana it-stöd s inte ingår i något förvaltningsobjekt. I modellen anges att dessa stöd används in kärnverksamheten och betraktas s mindre verksamhetssystem eller har få användare. Enligt uppgift uppgår dessa till uppskattningsvis 150-200 stycken och avser inte endast system in kärnverksamheten. Totalt antal it-stöd uppges vara ca 550 stycken. Light-modellen innebär att för it-stöd enligt ovan ska finnas kontaktpersoner utsedda i verksamheten s kan hantera det verksamhetsnära förvaltningsarbetet. Det ska även finnas resurser in IT s kan svara för den IT-nära förvaltningen. Av modellen framgår att IT-stöden har grupperats i tre Förvaltningsobjekt-Light (FO-Light): Förvaltningsobjekt-Light Vård, Förvaltningsobjekt-Light Administrativt stöd och Förvaltningsobjekt-Light IKT. Inledningen utgår från befintlig FOA. Syftet med ovanstående indelning anges vara att underlätta framtida placering av IT-stöd i befintliga och kmande förvaltningsobjekt i FOA:n. Enligt uppgift är enheten för Arkitektur och metodstöd ansvarig för vidmakthållande och utveckling. Metodstöds uppdrag/ansvar för utveckling av modellen framgår i övrigt av modellbeskrivningen. När det gäller ovan beskrivna lightmodell har frågan enligt uppgift behandlats av landstingets it-ledningsgrupp, men även i FOA-styrgruppen. Kmentarer Att insatser görs för att implementera modellen ser vi s nödvändiga för att säkerställa en effektiv systemförvaltning. De nya förvaltningsobjekten, FO-Light, behöver, s vi ser det, beslutas av FOAstyrgruppen efters de påverkar FOA:n. 10 Daterad 2017-09-13, version 1.1.

2018-01-24 17REV66 9(15) 8 Resultat av granskningen 8.1 Förvaltningsspecifikationer Förvaltningsspecifikationen är en beskrivning av systemförvaltningsorganisationens ansvarsråde och fattning. Enligt Modell för styrning av systemförvaltning, version 1.0, ska förvaltningsspecifikationer finnas till respektive förvaltningsobjekt. Dessa ska bl.a. innehålla beskrivningar av nedanstående: objektverksamheten (den verksamhet s stöds), förvaltningsprodukter eller delaktiviteter, IT-kponenter, närliggande system och förvaltningsobjekt. S framgår av avsnitt 7 har modellen uppdaterats under hösten 2017. I den senaste versionen har kraven på förvaltningsspecifikationer utgått. Motsvarande information ska i stället, fr år 2018, inordnas i förvaltningsplanerna. Kraven på information uppfattar vi samtidigt s något lägre ställda i den senare versionen, t.ex. framgår inte att närliggande system och förvaltningsobjekt ska beskrivas. Vidare har informationen avgränsats till it-kponenter. Enligt föregående version ska såväl it-kponenter s förvaltningsprodukter 11 beskrivas. Förändringarna har förklarats med behov av förenklingar. Enligt uppgift redovisas emellertid även förvaltningsprodukterna in ramen för systemförvaltningsportalen. Vi har i granskningen efterfrågat förvaltningsspecifikationer till fem förvaltningsobjekt i syfte att verifiera sådana har upprättats för år 2017. Vi har uppfattat att kraven på dessa inte varit tillräckligt kända. Ett av objekten har haft en specifik förvaltningsspecifikation år 2017. Informationen finns däremot, i vart fall delvis, i förvaltningsplanerna för övriga objekt. Vi har även noterat att ett av förvaltningsobjekten har haft en specifikation för år 2016. För de förvaltningsobjekt s inte är etablerade saknas, enligt uppgift, förvaltningsspecifikationer i sin helhet. Kmentarer För ett av de granskade förvaltningsobjekten finns en upprättad förvaltningsspecifikation för år 2017. Vad gäller övriga förvaltningsobjekt bedömer vi att de förvaltningsplaner s vi tagit del av åtminstone delvis motsvarar ställda krav på förvaltningsspecifikationer, i vart fall på en övergripande nivå. Huruvida informationen motsvarar behoven kan vi däremot inte bedöma. Vi ser i övrigt gärna en ökad grad av enhetlighet, exempelvis gen mallar för ändamålet. Så s angetts har kraven på information närliggande system utgått. I vissa fall torde dock, s vi ser det, sådan information vara av betydelse. Det behöver även säkerställas att tillräcklig information finns till de förvaltningsobjekt s inte är etablerade. 11 Den samlade leveransen från förvaltningsobjektet, d.v.s. resultatet från förvaltningsverksamheten. Förvaltningsprodukterna består av verksamhetskponenter och it-kponenter.

2018-01-24 17REV66 10(15) 8.2 Bemanning Systemförvaltningsorganisationen ska bemannas med roller kopplade till fyra olika nivåer; strategi, budget, beslut och operativ nivå. Nedan åskådliggörs dessa. De förkortningar s används framgår även av tabellen. Nivå/Part Verksamhetsnära förvaltning IT-nära förvaltning Beslutsform Strategi Organisationens ledning FOA-styrgrupp Budget Objektägare (OÄ) Objektägare IT (OÄ-IT) Objektstyrgrupp Beslut Förvaltningsledare (FL) Förvaltningsledare IT (FL-IT) Operativ Objektspecialister (OS) IT-specialister (ITS) Förvaltningsledningsgrupp S framgår av avsnitt 7 utsågs FOA-styrgruppen av regiondirektören i mars 2017. Under år 2017 har FOA-styrgruppen haft två möten, förlagda under hösten. S vi uppfattat det har inga protokoll eller motsvarande upprätts. Enligt uppgift beslutade FOA-styrgruppen vid sitt första möte Objektägare och Objektägare- IT. Vid det andra mötet, i november, togs beslut styrgruppskonstellationer inför år 2018 12. Vid nästkmande möte, s kmer att hållas under slutet av januari 2018, avses bemanningen 13 av de nya styrgrupperna att behandlas. Vid granskningstillfället (november-december 2017) var endast 12 av totalt 24 förvaltningsobjekt etablerade 14 I ett av dem saknas emellertid en utsedd Objektägare. Rollerna Förvaltningsledare och Förvaltningsledare-IT fanns i övrigt till 10 av de totalt 12 förvaltningsobjekt s bedömts s etablerade. Objektspecialist och IT-specialister finns enligt uppgift till samtliga förvaltningsobjekt. Merparten av IT-specialisterna är konsulter. Endast en mindre andel är således anställda av landstinget. Rollbeskrivningar s beskriver ansvar, befogenhet och arbetsuppgifter finns i bilaga till Modell för styrning av systemförvaltning. Beskrivningarna fattar Objektägare, Objektägare-IT, Förvaltningsledare, Förvaltningsledare-IT, Objektspecialist och IT-specialist. Modellen innehåller även beskrivningar s vänder sig till styrgrupper. Enligt uppgift har rollbeskrivningarna kmunicerats till berörda befattningshavare i samband med etableringarna och de finns i övrigt att tillgå via intranätet. Enligt de underlag s vi tagit del av planeras utbildning att hållas för styrgrupper under februari/mars 2018. 12 Fördelning av förvaltningsobjekt per styrgrupp. 13 Beslut Objektägare och objektägare-it 14 I den översyn s gjordes av systemförvaltningsorganisationen år 2015 har begreppet etablerad beskrivits enligt följande: Ett förvaltningsobjekt kan anses s etablerat när en förvaltningsorganisation är bemannad med såväl verksamhetsnära s IT-nära roller på åtminstone strategisk, beslutande och budgetnivå. Dessut ska förvaltningsobjektet fattas av en förvaltningsplan och eventuellt en förvaltningsspecifikation.

2018-01-24 17REV66 11(15) Vi har även noterat att ett förvaltningsledarforum, s vänder sig till Förvaltningsledare och Förvaltningsledare-IT, har inrättats under hösten 2017. Av mötesdokumentation framgår att rollbeskrivningarna ska behandlas vid förvaltningsledarforumet i mars 2018. Det har i granskningen inte framkmit några indikationer på att rollerna eller rollbeskrivningarna är otydliga, med undantag för styrgruppernas roller. Därutöver har otillräcklig kunskap rollbeskrivningarna framhållits s sannolik. Otillräcklig kunskap/förståelse har av en förvaltningsledare även bedömts ha koppling till bristande implementering av förvaltningsplanen. Att objektspecialister in ett och samma förvaltningsobjekt har olika organisationstillhörighet/ chefer har även framhållits s en försvårande ständighet för en förvaltningsledare, s uttryckt osäkerhet kring sina befogenheter i dessa fall. Vidare har föreksten av obalans mellan Förvaltningsledare och Förvaltningsledare-IT lyfts fram. Obalansen har förklarats bestå i för stor andel it-resurser i förhållande till verksamhetsresurser vilket riskerar en it-styrd förvaltningsverksamhet. Kmentarer Vi har i vår granskning kunnat konstatera att förvaltningsobjekten inte är bemannade fullt ut. Vi vill även framhålla betydelsen av att samtliga förvaltningsobjekt etableras. Att ca hälften av förvaltningsobjekten inte hade sådan status kan inte ses s tillfredsställande. En viktig förutsättning för en effektiv förvaltning är tydligt definierade roller. Att de är beskrivna ser vi därför s värdefullt. Att styrgrupper och övriga rollinnehavare ges nödvändig utbildning och möjlighet till diskussion kring rollbeskrivningarna är dock angeläget. Planerade insatser in rådet är därför av stor vikt. Vi rekmenderar i övrigt att de övervägs att minnesanteckningar och protokoll från styrgruppsmöten upprättas och publiceras i systemförvaltningsportalen då det torde förbättra insynen och åtksten till dem. 8.3 Förvaltningsplaner Syftet med förvaltningsplanen, enligt Modell för styrning av systemförvaltning, är att klargöra vad s ska göras i förvaltningsarbetet samt hur förvaltningen ska utföras och styras. Nedan framgår i övrigt vad modellen anger rörande dessa planer. Varje förvaltningsobjekt planeras och styrs utifrån en årlig förvaltningsplan. Systemförvaltningsgruppen har ansvar för att ta fram förslag till förvaltningsplan inför kmande period och styrgruppen fattar beslut behov av eventuella korrigeringar i planen samt dess slutliga godkännande. Planernas innehåll beskrivs. S framgår av avsnitt 8.1. har förändringar gjorts i modellens senaste version, 1.1, s publicerats under sista kvartalet 2017. Förändringarna rör bland annat förvaltningsplanernas innehåll.

2018-01-24 17REV66 12(15) Det ingår bl.a. i förvaltningsledarens och förvaltningsledare IT:s roll att avvikelserapportera till styrgruppen. I syfte att få en bild av föreksten av förvaltningsplaner för år 2017 har vi efterfrågat planerna från fem förvaltningsobjekt, samma urval s i avsnitt 8.1. Formerna för uppföljning och rapportering har även granskats. Våra iakttagelser sammanfattas i det följande: Vi har noterat att samtliga objekt har sådana planer. Vissa planer har beslutats av styrgrupperna, vilket vi delvis har kunnat verifiera gen styrgruppsanteckningar. Vi har också noterat förvaltningsplaner där sådana beslut inte har fattats alternativt inte har dokumenterats. Föreksten av uppföljning av status och avvikelser till styrgrupperna har varierat mellan förvaltningsobjekten. Planer för år 2018 har endast undantagsvis färdigställts och beslutats vid granskningstidpunkten, vilket förklaras med att processen för planering av systemförvaltning inte är samordnad med landstingets process för verksamhetsplanering. Denna ständighet har även framhållits av flera olika befattningshavare in ramen för granskningen. Frågan lyftes vidare i den översyn av systemförvaltningen s gjordes år 2015. Så s det beskrivits för oss finns inga tydliga principer för budgetering av medel för systemförvaltning. För vissa förvaltningsobjekt svarar verksamheten för budgeten/kostnaderna medan det för andra objekt är IT s står för detta. Kostnaderna för personal uppges normalt belasta den verksamhet s tillsatt ansvarig roll. Nedlagd kostnad för egen personal har inte varit möjligt att följa upp p.g.a. att tidredovisning inte har tillämpats. Enligt uppgift kmer emellertid IT:s personal att fattas av sådan redovisning fr.o.m. år 2018. Kmentarer För att säkerställa en effektiv och ändamålsenlig styrning av förvaltningsverksamheten behöver behov och resurser för systemförvaltningen prioriteras och beslutas på behörig nivå. S framgår av avsnitt 8.2 var cirka hälften av förvaltningsobjekten inte etablerade vid granskningstidpunkten. De aktiviteter s genförs in dessa objekt är således inte beslutade av styrgrupper enligt gällande modell för systemförvaltning. Vi ser det därför s väsentligt att fortsatt etablering sker skyndsamt. I syfte att säkerställa planernas efterlevnad behöver även rutinerna för uppföljning och rapportering av status och avvikelser ses över och tydliggöras. Att objekten är bemannade med styrgrupper är dock en förutsättning för sådan rapportering. Vi anser i övrigt att förvaltningsplanerna behöver anpassas till landstingets planeringscykel i syfte att säkerställa att systemförvaltningen stödjer verksamheten och dess mål. Vi rekmenderar dessut att principerna för budgetering ses över för att stärka kontrollen gen ökad enhetlighet avseende planerade och nedlagda kostnader för systemförvaltning.

2018-01-24 17REV66 13(15) 8.4 Intern kontroll I Regionstyrelsens reglemente 15 anges att styrelsen ansvarar för de informationssystem s stödjer landstingets verksamhet. Nedan sammanfattas våra främsta iakttagelser rörande intern kontroll med avseende på riskanalys och uppföljning/rapportering: S vi uppfattat det har ingen rapportering gjorts till styrelsen s rör implementeringen av pm 3, i vart fall inte under senare år. Av Modell för styrning av systemförvaltning, version 1.0, framgår att det ingår i funktionen för metodstöd att säkra att man arbetar s det är tänkt med modellen. I den uppdaterade versionen, 1.1, s publicerades under hösten 2017 framgår att metodstödet ska arbeta med bl.a. uppföljning av modellen. Utöver den översyn s gjordes år 2015 hade vid tidpunkten för vår granskning ingen sådan uppföljning gjorts. Insatserna har i stället varit inriktade mot att ge stöd i implementeringsarbetet. Även andra uppgifter, bl.a. rörande FOA och etablering av FOA-styrgrupp, har ingått i metodstöds arbete. Den riskanalys s vi tagit del av avseende år 2017 innefattar inga identifierade risker/riskråden rörande bristande efterlevnad till pm 3 och landstingets modell för systemförvaltning. Inga andra risker s direkt kan kopplas till systemförvaltningen har i övrigt noterats. En generell risk, s är relevant i sammanhanget, rör följsamheten till fattade beslut. Någon beslutad handlingsplan eller uppföljning utifrån denna risk finns däremot inte. Vi har i övrigt uppfattat att det finns otydligheter i styrelsens ansvar för informationssystemen. S framgår av avsnitt 7 anges i styrelsens protokoll år 2011 följande rörande införandet av pm 3 : Ett införande pm3 innebär att Landstingsstaben IT:s roll renodlas till att vara en IT-leverantör och att verksamheten får ansvaret för sina system. Regionstyrelsen ansvarar samtidigt, enligt reglementet, för de informationssystem s stödjer landstingets verksamheter. Några preciseringar rörande ansvarets innebörd har inte erhållits i granskningen. Kmentarer Vi har i vår granskning inte funnit att styrelsens interna kontroll, för att säkerställa att systemen stödjer landstingets verksamheter på ett tillfredsställande sätt, har innefattat riskanalys och uppföljning/rapportering avseende förvaltningen av landstingets system. Vi anser därför att åtgärder behöver initieras in dessa råden. Viktigt är att efterlevnaden av beslut säkerställs. Vi rekmenderar även att styrelsens ansvar för it-systemen ses över och tydliggörs. 15 Beslutat av fullmäktige 2016-11-24, 218

2018-01-24 17REV66 14(15) 9 Revisionell bedömning Granskningen har visat att styrelsens beslut år 2011 att införa pm 3 s förvaltningsmodell för samtliga IT-system i landstinget inte har implementerats annat än delvis år 2017. Att cirka hälften av förvaltningsobjekten inte var etablerade vid granskningstidpunkten kan inte anses s tillfredsställande. Det har därtill funnits en relativt stor andel mindre verksamhetssystem eller system s har få användare s inte har ingått i något förvaltningsobjekt. Vi har samtidigt noterat att åtgärder har initierats och genförts under år 2016 och 2017 i syfte att förbättra styrningen. Bildandet av en FOA-styrgrupp och beslut FOA är exempel på viktiga och grundläggande beslut av betydelse. Införandet av en systemförvaltningsportal ser vi i övrigt positivt på. Modellen för styrning av systemförvaltning har vidare uppdaterats under hösten 2017. Modellen har bl.a. kpletterats med en light-modell för de it-stöd s inte ingått i något förvaltningsobjekt. Vi bedömer sammanfattningsvis att styrelsen inte har säkerställt att den interna kontrollen av systemförvaltningen har varit tillräcklig. Nedan har våra granskningsresultat och bedömningar utifrån revisionsfrågorna kort sammanfattats. Vår stickprovsgranskning har visat att förvaltningsspecifikationer, s definierar förvaltningsobjekten, endast till viss del har upprättats på det sätt s modellen föreskriver för år 2017. Information finns däremot delvis in ramen för förvaltningsplanerna. För de förvaltningsobjekt s inte är etablerade saknas dock dessa uppgifter i sin helhet. Förvaltningsorganisationen var vid granskningstillfället endast delvis bemannad med gällande roller. Dokumenterade beskrivningar finns till dessa, vilka i huvudsak bedöms s tydliga. Att styrgrupper och övriga rollinnehavare ges nödvändig utbildning och möjlighet till diskussion kring dessa är emellertid angeläget. Vi har erhållit förvaltningsplaner till samtliga i granskningsurvalet ingående förvaltningsobjekt. Samtliga planer har dock inte beslutats och följts upp av behörig nivå, d.v.s. styrgrupp. Vi anser därutöver att processen behöver anpassas till landstingets planeringscykel i syfte att säkerställa att systemförvaltningen stödjer verksamhetens mål. Rapportering av status och avvikelser utifrån förvaltningsplanerna har inte gjorts för samtliga förvaltningsobjekt i vårt granskningsurval. Enligt landstingets modell ska avvikelser rapporteras till styrgrupp, vilket inte skett i samtliga fall. Rutinerna för ändamålet behöver därför ses över och tydliggöras. Att objekten är bemannade med styrgrupper är dock en förutsättning för att sådan rapportering ska kunna ske.

2018-01-24 17REV66 15(15) Styrelsens interna kontroll, för att säkerställa att systemen stödjer landstingets verksamheter på ett tillfredsställande sätt, har inte innefattat riskanalys och uppföljning/rapportering avseende förvaltningen av landstingets system. Certifierad kmunal revisor Revisionsdirektör

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss