Regeringsuppdrag. Rapport Fördjupat it-kostnadsuppdrag. Delrapport 2: Kartläggning av it-kostnader

Regeringsuppdrag Rapport Fördjupat it-kostnadsuppdrag Delrapport 2: Kartläggning av it-kostnader

Publikationen kan laddas ner från ESV:s webbplats esv.se. Datum: 2015-10-23 Dnr: 139/2015 ESV-nr: 2015:58 Copyright: ESV Rapportansvarig: Magnus Gunnarsson

FÖRORD Förord Ekonomistyrningsverket (ESV) har fått i uppdrag av regeringen (N2015/738/EF) att fördjupa arbetet med jämförelser av de statliga myndigheternas it-kostnader och hämta in information om vilka strategiska it-projekt som myndigheterna driver och som bedöms ha en högre risk vad gäller nytta och budget. ESV ska också utarbeta förslag till hur mätning och rapportering av de statliga myndigheternas it-användning kan utvecklas och hur statsförvaltningens digitalisering kan följas upp. Uppdraget ska rapporteras till Regeringskansliet (Näringsdepartementet) senast den 31 maj, den 30 oktober och den 31 december 2015. Denna rapport innehåller den kartläggning av it-kostnader som ska redovisas till Regeringskansliet senast den 30 oktober 2015. ESV vill rikta ett stort tack till myndigheterna som deltagit i arbetet och till Kammarkollegiet och MSB. I detta ärende har generaldirektör Mats Wikström beslutat. Utredaren Magnus Gunnarsson har varit föredragande. I den slutliga handläggningen har även avdelningschefen Eva Lindblom, enhetschefen Tina J Nilsson samt utredarna Patrick Freedman och Svante Andersson deltagit. Utredaren Leif Lind och konsulten Klas Söderlund har deltagit i arbetet. 3

INNEHÅLL Innehåll Förord... 3 1 Sammanfattning... 6 2 Inledning... 8 2.1 Uppdraget... 9 2.2 ESV:s tolkning av uppdraget... 10 2.3 Tidigare rapporter inom området... 11 2.3.1 It-kostnader... 11 2.3.2 Andra rapporter om styrning av it... 12 2.4 Utvecklingen av it-kostnader i staten över tiden... 14 2.5 Genomförande... 16 3 Mognadsmätning... 18 3.1 It-mognad - läget 2014 hos 60 myndigheter... 19 3.1.1 Strategi för it-försörjning (sourcing)... 19 3.1.2 Förvaltningsmodell för it... 20 3.1.3 Projektmodell... 21 3.1.4 Portföljstyrning... 22 3.1.5 It-kompetensförsörjningsplan... 22 3.1.6 Modell för nyttohemtagning... 23 3.1.7 Kostnadsjämförelser med andra myndigheter eller aktörer... 25 3.1.8 Sammanfattning av mognadsmätningen för 2014... 25 3.1.9 Mognadsmåtten och ledningen... 27 3.2 Informationssäkerhet en viktig del av it-mognad och intern styrning och kontroll... 27 3.3 Förslag till utveckling från deltagande myndigheter... 29 3.4 Sammanfattning av iakttagelser avseende mognadsmätningen... 30 4 Nyckeltal... 32 4.1 It-kostnader läget 2014 hos 60 myndigheter... 32 4.1.1 It-kostnad som andel av verksamhetens kostnader... 33 4.1.2 It-investeringar som andel av verksamhetskostnad... 39 4.1.3 Inhyrd it-personal som andel av total it-personal... 45 4.1.4 It-kostnad per användare... 49 4.1.5 Andel utkontrakterad it-verksamhet som andel av it-kostnad... 51 4.1.6 Kostnad per it-arbetsplats... 55 4.1.7 Kostnad för telefoni per användare... 60 4.2 Nya nyckeltal... 63 4.2.1 Drift, förvaltning och utveckling... 63 4.2.2 It-incidenter... 65 4.2.3 Lagring... 67 4.3 Sammanfattning av iakttagelser avseende nyckeltalen... 69 5 Det fortsatta arbetet... 71 5.1 Förslag till fortsatt arbete... 72 4

INNEHÅLL Referensgrupper... 75 Referenser... 77 Bilaga 1 Regeringsuppdraget... 78 Bilaga 2 Definitioner av underliggande information... 82 Bilaga 3 Definitioner av nya nyckeltal... 84 5

SAMMANFATTNING 1 Sammanfattning Den här rapporten är resultatet av en resa som ESV har gjort tillsammans med drygt 60 myndigheter, varav majoriteten omfattas av förordningen om intern styrning och kontroll, genom totalt nio seminarier. ESV har tillsammans med 20 av myndigheterna identifierat nya nyckeltal. ESV har fört ut nyckeltalen till drygt 40 av myndigheterna som inte tidigare beräknat dessa. Nyckeltalen är nu förankrade och beräknade i drygt 60 myndigheter. Resultatet av arbetet är inte endast en rapport, utan också ett omfattande lärande. ESV anser att det är rimligt utifrån kraven i myndighetsförordningen tredje och fjärde paragraf om effektivitet och hushållning samt intern styrning och kontroll att myndighetsledningarna gentemot regeringen kan verifiera effektiviteten i myndighetens it-verksamhet. En förutsättning för att kunna göra det är att det finns ett ramverk för att bedöma myndigheternas it-mognad och it-kostnader. Därför är det viktigt att det påbörjade arbetet fortsätter. Ett ramverk för att mäta myndigheternas it-mognad möjliggör för myndigheternas ledning att regelbundet pröva hur väl myndigheterna tar tillvara på möjligheterna med digitaliseringen och effektiviteten i it-verksamheten. Det möjliggör också för myndighetsledningarna att uppfylla sitt ansvar gentemot regeringen. Betydelsen av it kommer inte minska, varken som kostnad eller möjliggörare. Drygt 40 procent av de deltagande myndigheterna anger att it-kostnaderna bör öka och hälften att de ligger på en tillfredsställande nivå. Den här rapporten väcker många frågor men kan ändå ligga till grund för ett antal ställningstaganden. ESV:s bedömning är att myndigheternas interna styrning och kontroll med fokus på it behöver utvecklas och stärkas. Särskilt tydlig är det inom områdena it-försörjning, portföljhantering och nyttorealisering. ESV konstaterar att: myndigheterna som ingått i arbetet lade 15,5 miljarder kronor på it under 2014 knappt hälften har en aktuell och fungerande strategi för sin it-försörjning 15 procent av myndigheterna saknar helt en it-försörjningsplan 20 procent av den personal som arbetar med it är inhyrd och 14 procent av verksamheten är utkontrakterad. myndigheterna har en portfölj med strategiska it-projekt som uppgår till 8,5 miljarder kronor, varav 2,5 miljarder kronor avser 2015 bara knappt en tredjedel av myndigheterna har en portföljstyrning som används fullt ut endast 17 procent av myndigheterna har en beslutad modell för nyttohemtagning som efterlevs. 6

SAMMANFATTNING Vad gäller kostnader och nyckeltal ser ESV att det är stora skillnader mellan myndigheterna. Skillnaderna förklaras bland annat av den mångfacetterade verksamheten vid myndigheterna och att det för många av myndigheterna är första gången de använder definitionerna. Samtidigt skönjer ESV vissa mönster, till exempel att mindre myndigheter har högre andel it-kostnader jämfört med större myndigheter och att mindre myndigheter investerar mer i it. För vissa nyckeltal som kostnad för it-arbetsplats kan det, enligt ESV:s bedömning, ifrågasättas ifall skillnaderna mellan myndigheterna är berättigade eller om det visar på ett utrymme för effektiviseringar. ESV anser att det finns behov att stärka förmågan att beräkna it-kostnader och öka kostnadsmedvetenheten i statsförvaltningen. Med ett ramverk skapas förutsättningar för jämförelser och lärande. Det underlättar när myndighetsledningarna ska prioritera och ta tillvara it som möjliggörare för verksamhetsutveckling. Därutöver är det också ett stöd för myndighetsledningarna i att förverkliga regeringens politik. ESV föreslår att arbetet med mognadsmätning och nyckeltal fortsätter och utvecklas, till exempel genom att gruppen med myndigheter vidgas. Genom att fler myndigheter deltar i arbetet kan till exempel myndighetsspecifika analysunderlag utvecklas. Genom att utveckla ett ramverk för it-kostnader på komponentnivå i staten kan myndigheterna få stöd att besvara många av de frågor som väcks i denna rapport, samt möjlighet att jämföra sig på en mer verksamhetsoberoende nivå, både inom och utom staten. Flera myndigheter arbetar idag enskilt med utgångspunkt i flera olika ramverk. Genom att myndigheterna får tillgång till ett gemensamt ramverk i staten kan myndigheter på ett enklare sätt och i högre grad jämföra, utveckla och effektivisera tillhandahållandet av it. En utvecklad mognadsmätning kan bidra med underlag för att svara på frågan om myndigheternas digitala mognad och myndigheternas förmåga att tillhandahålla it effektivt. Det kan stärka myndighetsledningarna så att de i högre grad än idag kan ha fokus på it som möjliggörare och agera därefter. ESV kan genom att utveckla vägledningar, utbildningar och främja samverkan bland annat inom nyttorealisering, stödja myndigheterna i deras arbete att stärka ett effektivt tillhandahållande av it, den interna styrningen och kontrollen samt förmågan att använda it som möjliggörare för verksamhetsutveckling. ESV ska i detta uppdrags slutrapport lämna förslag till regeringen på hur mätning och rapportering av de statliga myndigheternas it-användning kan utvecklas och hur statsförvaltningens digitalisering kan följas upp. ESV avser då att återkomma med mer utvecklade förslag än de som lämnas i denna delrapport. 7

INLEDNING 2 Inledning It är grundläggande för myndigheternas verksamhet. It utgör en betydande kostnad för staten som helhet. Det är viktigt att ha en god bild av statliga myndigheters itanvändning. Statsförvaltningen ska i större utsträckning tillsammans utveckla och dela digitala lösningar som skapar en enklare, öppnare och effektivare förvaltning till nytta för medborgare och företag. Statsförvaltningen ska utnyttja skattemedel ändamålsenligt och inte använda mer resurser än vad som krävs för att nå avsedda resultat med tillräckligt god kvalitet. Myndigheterna ska gemensamt ta tillvara stordriftsfördelar och bedriva gemensam utveckling. Regeringen har för att stödja en sådan utveckling tidigare bland annat tagit initiativ till E-delegationen, Statens servicecenter och utvecklingsansvariga myndigheter. Flera förvaltningsövergripande projekt har också startats som e-legitimation, e-faktura och e-beställningar. I samband med att E-delegationen avvecklades har ESV fått utökade uppdrag inom området. ESV ska bland annat, i samarbete med utvalda myndigheter, stötta myndigheterna under de olika faserna i utvecklingsprocessen och bidra till att förbättra regeringens förmåga att styra, samordna och följa upp de statliga myndigheternas arbete med att digitalisera förvaltningen under 2015-2018. I regeringens handlingsplan för e-förvaltningen från 2008 är ett mål att statens samlade it-kostnader ska följas upp löpande. Vidare sägs att oberoende av typ av process kan kostnaderna för it-stöden till exempel delas upp i utvecklingskostnader och driftskostnader. Regeringen anger vidare att generellt sett bör driftskostnaderna pressas ner för att frigöra resurser för utveckling och genom att harmonisera redovisningen av it-kostnader kan förutsättningar för effektiva jämförelser skapas. I budgetpropositionen för 2016 (prop. 2015/16:1, utgiftsområde 22, s 120) skriver regeringen att den bedömer att digitala tjänster så långt det är möjligt och där det är relevant ska vara förstahandsvalet i den offentliga sektorns kontakter med medborgare, organisationer och företag. När det gäller företagens uppgiftslämnande till statliga myndigheter bedömer regeringen att detta i huvudsak bör göras elektroniskt. Det skulle i många fall leda till färre felaktiga uppgiftsinlämningar och göra det lättare för företag att få besked om handläggningen av deras ärenden. Regeringen skriver vidare att försörjningen av system för elektronisk identifiering och underskrift är av största vikt. Rutinerna för identifiering och underskrift i 8

INLEDNING samband med användning av digitala tjänster bör fungera på ett enkelt sätt för användaren, oavsett om denne befinner sig i Sverige eller utomlands. Rutinerna måste dessutom bidra till en hög säkerhetsnivå. Regeringen skriver också att digital samverkan är en fråga som får allt mer fokus inom EU. Gemensamma principer som tagits fram och implementerats i medlemsstaterna kommer att revideras på EU-nivå, vilket kommer att kräva en nationell anpassning. Arbete och erfarenheter från e-förvaltningsarbete inom EU kan vara till användning i den svenska förvaltningen. Myndigheterna bör sträva mot öppna data såväl mellan varandra som till enskilda. Regeringen konstaterar även att strategin för EU:s digitala inre marknad också kommer att ha stor inverkan på det nationella e-förvaltningsarbetet. Standarder på itområdet kommer att spela en allt större roll för att skapa återanvändbara lösningar. Regeringen anser också att digitala tjänster i så stor utsträckning som möjligt bör bygga på öppna standarder och om möjligt använda programvara som frigör statsförvaltningen från beroendet av enskilda tekniska lösningar. 2.1 Uppdraget Den 15 januari 2015 gav regeringen ESV och de myndigheter som omfattas av internrevisionsförordningen (med undantag för Försvarsmakten, Polismyndigheten, Försvarets materielverk och Totalförsvarets forskningsinstitut) samt Bolagsverket ett uppdrag att fördjupa arbetet med it-kostnader och it-projekt. Det ska göras med utgångspunkt från rapporten It-kostnadsmodell (ESV 2014:50). ESV ska med stöd av en arbetsgrupp med representanter från statliga myndigheter identifiera och definiera fler nyckeltal för jämförelse av de statliga myndigheternas it-kostnader. De deltagande myndigheterna ska ta fram grundläggande information och beräkna nyckeltal i enlighet med de definitioner som ESV utarbetat. Underlaget som inhämtas från myndigheterna ska även omfatta de strategiska val ESV beskriver i sin rapport It-kostnadsmodell. ESV ska tillhandahålla stöd till myndigheterna för beräkning av nyckeltal. ESV ska också fördjupa analysen av skillnaderna mellan olika myndigheter och identifiera möjligheter till samverkan mellan myndigheter för att öka effektiviteten inom området. Arbetet ska på sikt bidra till ett lärande för berörda myndigheter. Kartläggningen av it-kostnader ska redovisas till Regeringskansliet (Näringsdepartementet) senast den 30 oktober 2015. 9

INLEDNING 2.2 ESV:s tolkning av uppdraget Syftet är ytterst att bidra till en effektiv statsförvaltning genom effektivare användande och tillhandahållande av it. Detta genom att bidra till en förstärkt styrning och samordning av den övergripande it-användningen i statsförvaltningen och en förstärkt uppföljning av de statliga myndigheternas it-användning. Det finns i dag inte några färdigutvecklade system eller processer för att fånga it-kostnader eller uppgifter om myndigheternas it-verksamhet. Det saknas tillräckligt tillförlitliga uppgifter för kostnader för drift, förvaltning och utveckling av it i staten. Detta leder till att myndigheterna inte har tillgång till några gemensamma verktyg för att enkelt och kostnadseffektivt kunna följa sina kostnader över tiden eller jämföra sig med andra myndigheter. Det gör det svårt att bedöma om it används effektivt, både för myndighetsledningar och för regeringen, och det gör det svårt att lära av varandra samt att samverka. ESV har formulerat följande mål för uppdraget: de medverkande myndigheterna följer löpande och systematiskt upp sina itkostnader och strategiska it-projekt med hög risk myndigheterna fortsätter att samarbeta och utbyta erfarenheter efter att uppdraget är genomfört regeringen får en god bild av de statliga myndigheternas it-användning och strategiska it-projekt. ESV anser att det är rimligt utifrån kraven på intern styrning och kontroll i staten att myndighetsledningarna gentemot regeringen kan verifiera effektiviteten i myndighetens it-verksamhet och redovisa, bedöma och motivera sin resursanvändning för it i förhållande till andra verksamheter. Det handlar om att ha kunskap om och perspektiv på den nytta som it bidrar med i förhållande till vad it kostar, i första hand i den egna verksamheten men även i jämförelse med andra verksamheter. För att detta ska vara möjligt krävs ett gemensamt språk. ESV ser ett stort värde i att arbetet med it-kostnader och nyckeltal som initierades 2014 fortsätter och omfattar flera myndigheter. ESV ser också ett värde av en regelbunden prövning av effektiviteten i it-verksamheten. Det är samtidigt viktigt att arbetet görs inom ramen för förvaltningsmodellen och resultatstyrningen. Görs avsteg bör dessa göras tydligt och medvetet. Samtidigt är det centralt att ett fokus på staten som helhet balanseras mot de enskilda myndigheternas verksamhetsmål. Det är ESV:s bedömning att en gemensam struktur och definitioner för it-kostnader samt nyckeltal är en viktig del i arbetet att effektivisera tillhandahållandet av it och bättre tillvarata it som möjliggörare i verksamhetsutveckling inom statsförvaltningen. 10

INLEDNING Det är viktigt att stärka fokus på hur it kan förbättra myndigheternas effektivitet och utveckla möjligheterna till gemensamt lärande. För detta behöver myndigheterna referensdata för att kunna jämföra och bedöma sin egen verksamhet och för att få idéer till bättre lösningar. Ett viktigt syfte med nyckeltal är att ansvariga inom myndigheten får en referensram för dialog och bedömning av hur effektivt it tillhandahålls och hur väl den bidrar till myndighetens effektivitet samt uppföljning av myndighetens interna styrning och kontroll med fokus på it. Nyckeltalen kan även underlätta till exempel ställningstagande till utkontraktering av it och stödja utvecklingen av nyttorealisering. 2.3 Tidigare rapporter inom området Flera tidigare rapporter har berört myndigheternas it-verksamhet. Rapporterna pekar på utvecklingsbehov inom flera områden, till exempel vad gäller ställningstagande om redovisning av it-kostnader, konkurrensutsättning, it-investeringar, nyttorealisering och informationssäkerhet samt styrning och ledning. 2.3.1 It-kostnader Statskontoret gjorde 1999 en förstudie 1 som syftade till att ge en första överblick av hur stora kostnaderna för informationstekniken egentligen var och att bygga upp en kunskapsbas som skulle kunna ligga till grund för jämförelser i framtiden. It-kostnadernas andel av verksamhetskostnaderna var i genomsnitt 9 procent för de 24 myndigheterna. Statskontoret kunde konstatera att mindre myndigheter köpte tjänster i högre grad än de större myndigheterna som istället lade ner mer pengar på program- och systemutveckling. Vidare konstaterades att myndigheterna bokförde sina inköp olika, till exempel bokförde de större myndigheterna sina inköp som investeringar i större utsträckning än de mindre myndigheterna, som istället kostnadsförde dessa. Cap Gemini Consulting genomförde hösten 2007 på uppdrag av Finansdepartementet en studie som redovisade en bild av hur it-kostnader kunde beskrivas. Deras modell har stora likheter med den modell som användes i Statskontorets studie som genomfördes 1999. Med stöd i ett mycket begränsat urval myndigheter samt vissa skattningar och antaganden uppskattades de sammanlagda it-kostnaderna inom myndigheterna i den statliga förvaltningen till ca 25 miljarder kr. Cap Gemini angav att denna siffra innehåller en stor grad av osäkerhet, på grund av det begränsade urvalet, men att den ändå gav en indikation på total kostnadsvolym. 1 Statskontoret 1999:37 It-kostnader i statsförvaltningen. 11

INLEDNING I E-delegationens förstudie Effektiv it-drift inom staten 2 från 2012 uppskattades den sammanlagda möjliga besparingspotentialen inom statens it-drift att ligga mellan 1 och 2 miljarder kronor, vilket beräknas motsvara 10-20 procent av den totala it-kostnaden i staten som uppskattades till ca 18,5 miljarder kronor. ESV bedömde i rapporten It-kostnadsmodell (2014:50) att det inte gick att ta fram en statistiskt säkerställd siffra för den totala it-kostnaden i staten. En uppskattning pekade dock på att it-kostnaderna i staten återfanns i intervallet mellan 24 och 31 miljarder. Som andel av totala verksamhetskostnaden motsvarade detta ett intervall mellan ca 10 och 13 procent. ESV tog tillsammans med de myndigheter som deltog fram sju nyckeltal. Utöver nyckeltalen identifierades också ett antal strategiska val som bidrar till myndigheternas framgång i drift, förvaltning och utveckling av it. Under våren 2015 identifierade ESV tillsammans med 63 myndigheter vilka strategiska it-projekt som bedrevs på myndigheterna. 3 Myndigheterna gjorde i samband med detta en värdering av projekten, kring till exempel risker. ESV har fördjupat analysen av det insamlade materialet. En slutsats som går att dra av det inrapporterade materialet är att stora projekt, det vill säga projekt med större budgetar, i större utsträckning riskerar att överskrida både budget och satta tidsramar än övriga projekt. En rekommendation med utgångspunkt i det insamlade materialet är att en myndighet om möjligt bör sträva efter att begränsa projektens storlek och att det kan finnas anledning att överväga, särskilt vad gäller utvecklingsprojekt, att dela upp projekt i mindre delar för att öka möjligheten att ha överblick och kontroll över dem. Detta borde minska sannolikheten för att projekt överskrider budget och/eller utsatta tidsramar. 2.3.2 Andra rapporter om styrning av it I Riksrevisionens rapport It inom statsförvaltningen (Riksrevisionen 2011:4) konstaterades att det fanns risk för att myndigheterna inte hanterade sin it på det mest effektiva sättet, då man inte övervägt vem som bäst tillhandahåller it. Flera myndigheter kunde inte heller redovisa sina it-kostnader på total nivå och ännu fler hade svårigheter att redovisa sina it-kostnader uppdelade på olika delområden. Riksrevisionen konstaterade vidare att myndigheterna inte alltid visste hur väl it bidrar till att uppfylla verksamhetens mål och hur den totala it-verksamheten inom myndigheten faktiskt ser ut och fungerar. 2 Effektiv it-drift i staten, förstudie version 1 (E-delegationen 2012-04-27). 3 Fördjupat it-kostnadsuppdrag, Delrapport 1: Kartläggning av strategiska it-projekt med hög risk (ESV 2015:48). 12

INLEDNING ESV lämnade under 2013 ett förslag till en förbättrad redovisning, styrning och kontroll av statens investeringar. 4 ESV konstaterar i rapporten att det är svårt att få en helhetsbild över hur mycket staten avser att investera i samhällsinvesteringar och i verksamhetsinvesteringar och hur finansieringen ser ut. Det finns inte heller några generella bestämmelser för hur planerade investeringar ska följas upp. ESV pekar i rapporten Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt 5 på de uppenbara svårigheter som finns idag med att följa upp realiserade nyttor av gemensamma e-förvaltningsinitiativ, vilket aktualiserar behovet av en modell för nyttorealisering av gemensamma e-förvaltningsinitiativ i statsförvaltningen. En sådan modell skulle göra det enklare att välja, styra och utvärdera initiativen för att kunna erhålla största möjliga nytta för avsatta medel. Det skulle också underlätta för myndigheterna att över huvud taget följa upp nyttor av de gemensamma projekten. Statskontoret anser i sin utvärdering av E-delegationen att genomslaget för e-förvaltningsfrågorna skulle gynnas av att de tydligt kopplas till övriga förvaltningspolitiska frågor. 6 Regeringen behöver säkerställa ett långsiktigt stöd i arbetet, i form av vägledning, uppföljning och förvaltningskapacitet. Statskontoret ser även risker med att e-förvaltningsfrågor reduceras till tekniska frågor och hålls isär från övrig ledning och styrning av statsförvaltningen. Statskontorets bedömning är att detta glapp finns både inom myndigheterna (mellan myndigheters högsta ledning och tjänstemän med ansvar för it-frågor), inom Regeringskansliet och mellan regeringen och myndigheterna. I det senare fallet innebär glappet att möjligheterna till ansvarsutkrävande försvåras av det, enligt Statskontorets bedömning, förhållandevis svaga politiska intresset för frågorna. Den ökade digitaliseringen av förvaltningen, till exempel samordningen av system och information, skapar dessutom flera utmaningar utifrån ett säkerhets- och integritetsperspektiv. OECD pekar i rapporten Value for money in Government Sweden 2013 på att kraven på nyttoanalyser i it-projekt måste stärkas och att samverkan, till exempel genom gemensam it-produktion och systemlösningar, måste stimuleras. Kravbilder från olika departement och politikområden måste harmoniseras för att möjliggöra gemensamma servicecenterlösningar som möjliggör koncentration av verksamhet och standardisering vilket skapar stordriftsfördelar. I MSB:s rapport En bild av myndigheternas informationssäkerhetsarbete 2014 redovisar MSB resultatet av en kartläggning av hur statliga myndigheter tillämpar 4 En förbättrad redovisning, styrning och kontroll av statens investeringar, ESV 2013:59. 5 Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt (ESV 2014:2). 6 Delegerad digitalisering (Statskontoret 2014:12). 13

INLEDNING MSB:s föreskrifter om statliga myndigheters informationssäkerhet (2009:10) och i övrigt arbetar med informationssäkerhet. 84 procent av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy, av dessa kontrollerar 26 procent inte hur de följs. 45 procent av myndigheterna uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med informationssäkerhet. Drygt 40 procent av myndigheterna som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informationssäkerhetsarbetet på myndigheten. Riksrevisionens bedömning i granskningen Informationssäkerheten i den civila statsförvaltningen (Riksrevisionen 2014:23) är att det finns omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Granskningen visar att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Regeringen har inte någon samlad lägesbild över hoten mot den civila statsförvaltningen, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. Detsamma gäller för regeringens stödoch tillsynsmyndigheter. 2.4 Utvecklingen av it-kostnader i staten över tiden ESV har definierat att it-kostnader är de kostnader som kan härledas till it-funktioner, och de begränsas inte nödvändigtvis till it-organisationen. Kostnaderna består av kostnader inklusive avskrivningar (för materiella och immateriella it-investeringar) för drift, förvaltning och utveckling av it-system och utrustning. Definitionen omfattar alla it-kostnader oavsett hur de finansieras. Till definitionen av it-kostnader har exempel tagits fram inom områdena hårdvara, mjukvara, datatrafik/kommunikation, personal, lokal och tjänster. Se vidare i ESV 2014:50, bilaga 1. Det som inkluderas i definitionen av it är omfattande då it är en allt mer integrerad del i myndigheternas verksamhet. Detta medför att gränsdragningar måste göras. Ett exempel på gränsdragning kan vara mätutrustning i kärnverksamheten. En mätutrustning där en person avläser mätresultaten och sedan matar in dessa i it-systemet är inte att anse som it-utrustning. Sker istället informationsöverföringen automatiskt mellan mätutrustningen och it-systemet är mätutrustningen att anse som it-utrustning. Ett annat exempel är att all utrustning med en IP-adress är att anse som it. Det finns inte idag någon möjlighet att samlat följa it-kostnaderna i staten. Däremot kan delar av it-kostnaderna följas genom de statliga redovisningskoderna S-koder. På S-koden S5362 Datatjänster, utgifter, utomstatliga rapporteras alla utgifter för 14

INLEDNING anlitande av datacentral samt utgifter för datakonsulter som inte är statliga myndigheter. Här rapporteras också avgifter för att använda datorprogram samt service- och underhållsavtal för datorer. På S-koden S5365 tele, utgifter, utomstatliga rapporteras utgifter för telenätet, som till exempel abonnemangsavgifter och dataöverföring via modem. På S-koden S5412 förs utgifter för inomstatliga datatjänster. Diagram 1. Datatjänster 1999-2014 för staten totalt, miljoner kronor 10 000 9 000 8 000 7 000 6 000 5 000 4 000 3 000 2 000 1 000 0 1999 2002 2005 2008 2011 2014 Utomstatligt Inomstatligt Kostnaderna för datatjänster har nästan fördubblats under tio år, från ca fyra miljarder 2004 till nästan åtta miljarder 2014. Diagram 2. Köpta datatjänster som andel av total verksamhetskostnad 3,50% 3,00% 2,50% 2,00% 1,50% 1,00% 0,50% 0,00% 1999 2002 2005 2008 2011 2014 15

INLEDNING Köpta it-tjänster i staten som andel av verksamhetens kostnader har fördubblats sedan sekelskiftet. Från en nivå kring 1,5 procent till en nivå mellan 2,5 och tre procent. 2.5 Genomförande Arbetet har genomförts tillsammans med de i uppdraget utpekade myndigheterna samt ytterligare ett antal myndigheter som har uttryckt ett önskemål om att få delta i arbetet. Totalt har nio seminarier genomförts i tre parallella spår. Drygt 60 myndigheter har medverkat. Arbetet har bedrivits i nära samverkan med dessa myndigheter genom seminarierna. ESV lade agendan för varje seminarium men projektet genomfördes i huvudsak i form av aktivt arbete från de deltagande myndigheterna. ESV har presenterat och gått igenom de framtagna definitionerna för it-kostnad, nyckeltal och mognadsmätningen. Myndigheterna har sedan beräknat it-kostnader och de framtagna nyckeltalen (enligt de gemensamt fastställda definitionerna) på hemmaplan och rapporterat in resultatet till ESV. Myndigheterna har sedan tillsammans kvalitetssäkrat sina uppgifter på de senare seminarierna. Myndigheterna har också getts möjlighet att jämföra sina it-kostnader och nyckeltal med varandra. Myndigheterna har därutöver svarat på ett antal frågor kopplade till de olika nyckeltalen och mognadsmätningen. Tillsammans med de flesta av de 22 myndigheter som deltog i arbetet 2014 har ett antal nya nyckeltal definierats och beräknats och en mognadsmätning för informationssäkerhet tagits fram. ESV har genomfört en mängd beräkningar och kontroller på det insamlade materialet. Vidare har projektet haft en extern referensgrupp. Referensgruppen har träffats regelbundet under arbetets gång och varit ett viktigt stöd till ESV:s projektgrupp. ESV har också haft stöd av en extern it-konsult i projektarbetet. Kammarkollegiet har bidragit i arbetet med tjänster. MSB har bidragit i arbetet informationssäkerhet och incidenter. Den slutliga utformningen är dock ESV:s. Avstämning har också skett löpande under arbetets gång med dels uppdragsgivaren/regeringskansliet och med projektets styrgrupp. ESV har tagit fram rapporten och de deltagande myndigheterna har haft möjlighet att lämna synpunkter på den. De myndigheter som deltog i arbetet är i huvudsak sådana som omfattas av internrevisionsförordningen. Dessa myndigheter har generellt en omfattande och/eller komplex verksamhet. I redovisning i rapporten är myndigheterna grupperade i tre grupper. De myndigheterna som deltog i E-delegationens arbete är en grupp (12 myndigheter), 16

INLEDNING Lärosäten (15) och Övriga myndigheter (34). Deltagande myndigheter framgår i avsnittet referensgrupper. ESV har valt att avidentifiera materialet i rapporten. Kvalitetssäkring av beräkningar har skett hos myndigheterna själva och genom seminarierna. Samtidigt består arbetet att beräkna nyckeltal på denna nivå av många vägval som varje myndighet gjort. ESV har endast kunna uppmärksamma uppenbara felaktigheter och ställa frågor kring uppgifter som kraftigt skiljer sig från mängden. 17

MOGNADSMÄTNING 3 Mognadsmätning Enligt uppdraget ska ESV inhämta information om myndigheternas strategiska val från de deltagande myndigheterna i enlighet med den modell som ESV tog fram under 2014. Mätningen har kompletterats med en ytterligare dimension - informationssäkerhet. Mätningen av informationssäkerhet har gjorts av ca 20 myndigheter. Denna mognadsmätning/strategiska val har fokus på intern styrning och kontroll av it-verksamheten och de möjligheter it skapar. It är ett område som i omfattning och betydelse vuxit kraftigt. Vikten av en god intern styrning och kontroll blir därmed allt mer väsentlig. En myndighet som inte kan svara tillfredsställande på mognadsmodellens frågor bör fråga sig om myndigheten har en tillfredsställande intern styrning och kontroll och bör också vidta åtgärder för att säkerställa den. Mognadsmätningar kan användas till ett flertal syften. De kan användas internt i respektive myndighet för att identifiera förbättringsområden och för att följa dessa över tid, och säkerställa att de ger önskat resultat. De kan även användas för jämförelser mellan myndigheter samt för att bedöma den totala mognaden i en sektor eller i staten, för att på så sätt sätta fokus på utvecklingsområden/satsningsområden. Den genomförda mognadsmätningen bygger på självskattningar utifrån en definierad skala. De är därför till sin natur subjektiva bedömningar. En direkt jämförelse mellan två myndigheter är inte relevant utan en djupare diskussion kring innebörden av självskattningen och de förutsättningar respektive myndighets verksamhet skapar. Men de ger ett underlag för diskussion inom myndigheterna kring aktuell värdering i relation till övriga svarande. Inom de områden där en myndighet identifierat en låg mognadsgrad finns det goda förutsättningar att gå djupare med stöd av kompletterande ramverk. 18

MOGNADSMÄTNING 3.1 It-mognad - läget 2014 hos 60 myndigheter ESV har stöttat de medverkande myndigheterna i arbetet att genomföra och kvalitetssäkra en bedömning av intern styrning och kontroll med fokus på it. Mognadsmätningen har sju dimensioner: Strategi för it-försörjning Förvaltningsmodell Projektmodell Portföljstyrning Nyttohemtagning Kompetensförsörjningsstrategi Jämförelser av it-kostnader 3.1.1 Strategi för it-försörjning (sourcing) Syftet med måttet är att kartlägga i vilken utsträckning myndigheterna har en strategi för sin it-försörjning. En strategi för it-försörjning pekar ut de överväganden som en myndighet ska göra i beslut om hur it ska tillhandahållas i myndigheten. Det kan vara styrande principer för vilken försörjningsform myndigheten anser lämplig för olika typer av it-tjänster, samt framtida målbilder för hur it-försörjningen ska ske. 7 Detta är en väsentlig del av en myndighets it-strategi. Riksrevisionen har konstaterat att det stora flertalet myndigheter inte kan anses ha gjort rimliga prövningar om den egna myndigheten eller någon annan aktör är bäst lämpad att producera den it organisationen har behov av. 8 Tabell 1. Strategi för it-försörjning Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har inte en strategi för it-försörjning. 4 (26 %) 3 (25 %) 2 (6 %) 9 (15 %) Vi har en strategi för vår it-försörjning men den är i behov av översyn eller uppdatering 5 (33 %) 3 (25 %) 15 (47 %) 23 (39 %) Vi har en aktuell och fungerande strategi för vår it-försörjning 6 (40 %) 6 (50 %) 15 (47 %) 27 (46 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) Resultatet i enkäten visar att det fortfarande finns ett stort förbättringsutrymme. Hälften av myndigheterna har inte en aktuell och fungerande strategi. Samtidigt är 7 Vägledning för effektiv it-försörjning, E-delegationen. 8 Riksrevisionen 2014: IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet? 19

MOGNADSMÄTNING graden av utkontraktering av it 14 procent och kompetensförsörjning genom konsulter 21 procent. 9 Att fatta rätt beslut kring resursförsörjning i en allt snabbare föränderlig värld är en komplex och fortgående process. Myndigheter måste ta hänsyn till verksamhetens krav, den egna kompetensen, geografi, leveransmodeller, pris och teknik. En myndighet behöver därför ha en strategi för sin it-försörjning (sourcing). Samverkan som del i it-försörjningen Myndigheter ska samverka. När en myndighet utvecklar sin it-försörjningsstrategi är samverkan ett viktigt alternativ till egen drift eller utkontraktering. ESV har frågat myndigheterna inom vilka områden samverkan kan bidra till effektivitet. Områden som lyfts fram av myndigheterna är: Samverkansdrift mellan liknande myndigheter såsom mellan Försäkringskassan, Arbetsförmedlingen och Skatteverket, i dessa fall har det handlat om möjligheter med Iaas (Infrastructure as a service). säker kommunikation it-arkitektur, dataformat, öppna data och licenshantering it som service/tjänst via statliga it-servicecenters dela på kompetenser av specialistkaraktär där det inte finns många inom myndigheten gemensamma upphandlingar 3.1.2 Förvaltningsmodell för it Verksamhet och it har ett gemensamt ansvar för myndighetens it-lösningar. En förvaltningsmodell tydliggör hur ansvaret ska fördelas mellan dem. En fungerande förvaltningsorganisation säkerställer att förvaltningsprocessen är under kontroll så att it-systemen effektivt stödjer den verksamhet de finns i. En förvaltningsmodell ska stödja den interna styrningen och kontrollen. Förvaltningsmodellen säkerställer att redan driftsatt stöd behåller avsedd funktionalitet, och att stödet förändras i samband med förändringar i verksamhetens behov. Ett tydligt förvaltningsuppdrag säkrar att förvaltningen av it stödjer de mål och intentioner som finns bland annat i verksamhetsplaner. Det skapar ramar och roller för relationen mellan verksamhet och it i närtid och nära framtid. 9 Uppgifterna är hämtade från kapitel 4 i denna rapport. 20

MOGNADSMÄTNING Tabell 2. Förvaltningsmodell Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har ingen förvaltningsmodell 1 (7 %) - - 1 (2 %) Vi har en förvaltningsmodell, men använder den bara delvis 7 (47 %) 1 (8 %) 16 (50%) 24 (41 %) Vi har förvaltningsmodell som används fullt ut 7 (47 %) 11 (92 %) 16 (50 %) 34 (58 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) I stort sett alla myndigheterna har en förvaltningsmodell. Dock är det bara drygt hälften som använder en förvaltningsmodell fullt ut. Att inte ha en förvaltningsmodell som tydliggör ansvarsfördelningen mellan verksamhet respektive it innebär en risk. Ett förslag som framkommit är att det borde vara obligatoriskt för myndigheter med en förvaltningsbudget över en viss summa att ha och tillämpa en förvaltningsmodell. 3.1.3 Projektmodell En projektmodell ger en struktur, ett gemensamt språk och tydliga roller och processer. I verksamheter som lever under stort förändringstryck är en professionell projekthantering med stöd av en projektmodell viktig och en nödvändig förutsättning för att skapa en kultur som kan hantera kontinuerliga förändringar. Tabell 3. Projektmodell Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har ingen beslutad projektmodell - 1 (8 %) 2 (6 %) 3 (5 %) Vi har en projektmodell, men den används bara delvis 10 (67 %) 2 (17 %) 9 (28 %) 21 (36 %) Vi har en beslutad projektmodell som används fullt ut 5 (33 %) 9 (75 %) 21 (66 %) 35 (59 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 ) I stort sett alla medverkande myndigheter har en projektmodell, men många använder bara modellen delvis. Det kan vara en signal om att många myndigheter behöver göra en insats för att bygga upp en struktur som bättre klarar av att hantera förändringar och utveckling. Mot bakgrund av att myndigheterna har samlat en strategisk projektportfölj om över 8 miljarder kronor är detta ett område som måste stärkas. Ett förslag från en myndighet är att om en projektbudget övergår en viss summa ska projektet ledas av en projektledare som är certifierad. 21

MOGNADSMÄTNING 3.1.4 Portföljstyrning Portföljhantering ger ledningen ett beslutsunderlag för sina prioriteringar och en överblick över pågående projekt. Det blir till exempel lättare att identifiera vilka projekt som behöver initieras, behöver förstärkning, bör skjutas upp eller avbrytas. 10 Med en begränsad budget blir även portföljstyrningen ett medel för att säkerställa att de projekt som bäst svarar mot strategiska mål och aktuell prioritering får rätt förutsättningar på bekostnad av mer perifera aktiviteter. En fungerande portföljstyrning ska beakta såväl förvaltningsaktiviteter som utvecklingsaktiviteter. Porföljstyrningen säkerställer styrningen av genomförandet av strategiska och taktiska utvecklingsinitiativ. Tabell 4. Portföljstyrning Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har ingen strukturerad sammanställning och prioritering av våra it-projekt 2 (13 %) 3 (25 %) 9 (28 %) 14 (24 %) Vi strukturerar och prioriterar delvis våra it-projekt 9 (60 %) 1 (8 %) 18 (56 %) 28 (47 %) Vi har portföljstyrning som används fullt ut 4 (27 %) 8 (67 %) 5 (16 %) 17 (29 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) En knapp tredjedel av myndigheterna har en portföljstyrning som används fullt ut. Avsaknad av portföljstyrning kan innebära en risk att ledningen inte aktivt medverkat i prioriteringen av utvecklingsprojekt. Detta bekräftas också i arbetet med strategiska it-projekt där flera myndigheter med kort varsel inte kunde identifiera sina strategiska projekt. Mot bakgrund av omfattningen av strategiska it-projekt kan de också anses anmärkningsvärt att bara drygt en fjärdedel har en modell som tillämpas fullt ut. Konstaterar myndigheten att man inte har en strukturerad kontroll över och prioritering av it-projekt, vilket 14 myndigheter gör, kan myndighetens interna styrning och kontroll ifrågasättas. 3.1.5 It-kompetensförsörjningsplan En väl fungerande it-kompetensförsörjningsplan ger översikt över den kompetens verksamheten har och tydliggör vilken kompetens som behövs i framtiden. Planen kan också innehålla planerade åtgärder för att fylla kompetensbehovet genom till 10 Se till exempel E-delegationens Introduktion till portföljstyrning Rapport från E-delegationens nätverk i nyttorealisering (version 1). 22

MOGNADSMÄTNING exempel kompetensutveckling, nyrekrytering, avveckling eller konsulter. Den ger beredskap inför teknikskiften och utkontraktering, och är också central för att säkerställa en genomtänkt konsultanvändning. Myndigheterna har 8 416 årsarbetskrafter inom it varav 1 753 utgörs av konsulter. Tabell 5. It-kompetensförsörjningsplan Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har ingen kompetensförsörjningsplan för it-kompetens 1 (7 %) 2 (17 %) 6 (19 %) 9 (15 %) Vi planerar delvis kompetensförsörjning inom it, men inte fullt ut 11 (73 %) 3 (25 %) 17 (53 %) 31 (52 %) Vi har en kompetensförsörjningsplan för it-kompetens som efterlevs 3 (20 %) 7 (58 %) 9 (28 %) 19 (32 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) En tredjedel av myndigheterna har en kompetensförsörjningsplan för it-kompetens som efterlevs. Övriga saknar eller har ofullständig planering. Antalet inhyrda konsulter hos myndigheter i den senare kategorin uppgår till knappt 600 helårsarbetskrafter. 3.1.6 Modell för nyttohemtagning En modell för nyttohemtagning ger tydligare fokus på nytta vid effektiviserings- och utvecklingsarbete. Ansvaret för de identifierade nyttorna bör inte ligga hos it-verksamheten utan i den verksamhet som är mottagare av utvecklingsinsatsen. Detta tydliggörs med en modell för nyttohemtagning. Den skapar den viktiga länken mellan utvecklingsarbetet och den framtida förvaltningen. ESV anser att det inför projektstart är självklart att göra en kalkyl som även omfattar effekter av eller nyttan med projektet. Det är också självklart att man efter genomfört (it-) projekt säkerställer att den tilltänkta nyttan tas hem. En modell för nyttohemtagning som tillämpas konsekvent i alla projekt säkerställer att de effekter som projektet syftar till faktiskt fokuseras och realiseras. 23

MOGNADSMÄTNING Tabell 6. Modell för nyttohemtagning Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har ingen beslutad modell för nyttohemtagning 11 (73 %) 4 (33 %) 18 (56 %) 33 (56 %) Vi har en modell för nyttohemtagning, men den används bara delvis 4 (27 %) 2 (17 %) 10 (31 %) 16 (27 %) Vi har en beslutad modell för nyttohemtagning som efterlevs - 6 (50 %) 4 (12 %) 10 (17 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) E-delegationen har tagit fram flera handledningar kring nyttorealisering och praktiska verktyg. Det är också en viktig del i bedömningen om en immateriell tillgång får aktiveras. Det ska då med hög grad av säkerhet visas att den immateriella tillgången kommer tillföra ekonomiska fördelar eller en ökad servicepotential för myndigheten i framtiden. Den investeringskalkyl (kostnads- och nyttokalkyl) som ska ligga till grund för den bedömningen måste vara tillförlitlig, rimlig och väl underbyggd. Att det ändå är så många myndigheter som inte har en beslutad modell för nyttorealisering är anmärkningsvärt. Nyttorealiseringsmodellen är också en viktig länk mellan verksamheten och it. Finns ingen modell för nyttohemtagning är det en stor risk att nyttor av utveckling inte realiseras fullt ut och att lärande uteblir. ESV samlade in uppgifter om strategiska projekt hos de deltagande myndigheterna. 11 I sammanställningen av dessa syns tydligt konsekvensen av avsaknad av nyttohemtagning: Av 204 inrapporterade projekt saknar 104 uttalat en beräkning av nytta, och 84 saknar en utpekat ansvarig för effekthemtagning. It-komponentens andel av aktuella total budget för de projekt som saknar beslut om nyttohemtagning/effekt är drygt 1,1 miljard. Den stora mängd projekt som saknar nyttoberäkning visar på ett behov att stärka arbetet med nyttorealisering i staten och bekräftar det resultat som syns i mognadsmätningen. En annan observation ESV gjort är att myndigheter uppfattar det som att nyttoberäkningar inte förväntas/behövs när projekt initieras genom regeringsuppdrag. Det är en observation ESV också gjorde i arbetet med rapporten Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt (ESV 2014:2). ESV anser att myndigheter ska arbeta strukturerat med nyttohemtagning. Detta är ett tydligt förbättringsområde för den interna styrningen och kontrollen. 11 Fördjupat it-kostnadsuppdrag Delrapport 1: Kartläggning av strategiska it-projekt med hög risk, ESV 2015:48. 24

MOGNADSMÄTNING 3.1.7 Kostnadsjämförelser med andra myndigheter eller aktörer It är en viktig möjliggörare för verksamhetseffektivisering. I många fall har vi fört diskussioner med myndigheter som enbart vill fokusera på det perspektivet. Men hur it tillhandahålls måste också ses som en egen dimension att följa upp. Det finns alternativa sätt att tillhandahålla it som i sig inte har någon betydelse för verksamheten men innebär olika kostnad. Totalt är det verksamhet om över 15,5 miljarder kronor hos de deltagande myndigheterna som omfattas. Har man inte gjort kostnadsjämförelser är det svårt att ta ställning till om tillhandahållandet är effektivt eller inte. Ett grundläggande första steg för att optimera it-kostnaderna är att identifiera kostnaderna och jämföra kostnaderna med andra myndigheter eller organisationer. Vid sådana jämförelser kan man upptäcka områden med förbättringspotential. Tabell 7. Kostnadsjämförelser med andra myndigheter eller aktörer Lärosäten E-delegationsmyndigheter Övriga myndigheter Totalt Vi har inte beräknat och jämfört it-kostnader 2 (13 %) 3 (25 %) 8 (25 %) 13 (22 %) Vi har beräknat it-kostnader, men inte jämfört 6 (40 %) 2 (17 %) 17 (53 %) 25 (42 %) Vi har regelbundet beräknat och jämfört it-kostnader för huvuddelen av vår it-verksamhet 7 (47 %) 7 (58 %) 7 (22 %) 21 (36 %) Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %) Flertalet myndigheter har helt eller delvis jämfört sina it-kostnader med andra aktörer. För de som inte tidigare gjort det har medverkan i detta projekt inneburit det första steget på den resan. Att så få myndigheter har jämfört sina kostnader pekar på ett viktigt utvecklingsområde, inte minst nu när det finns ett första ramverk att samlas kring i staten och 60 myndigheter att jämföra sig med. 3.1.8 Sammanfattning av mognadsmätningen för 2014 Den genomförda mognadsmätningen ger ett övergripande underlag för diskussion. Då den baseras på en självskattning är det centralt att en jämförelse mellan myndigheter kombineras med en initierad diskussion kring orsakerna till placeringen på mognadsskalan. 25

MOGNADSMÄTNING Diagram 3. Sammanställning av mognadsmätning Kostnads-jämförelser med andra Modell för nyttohemtagning 80% 60% 40% 20% 0% Förvaltnings-modell för it Projektmodell Beslutad strategi för itförsörjning 100% It-kompetensförsörjnings-plan Portföljstyrning Universitet/högskolor E-delegationsmynd Övriga myndigheter Myndigheterna som ingått i E-delegationens arbete har en högre mognad jämfört både med lärosätena och övriga myndigheter. E-delegationsmyndigheterna visar ett jämt resultat i de olika dimensionerna där man är mest utvecklad vad gäller förvaltningsmodell och projektmodell. Utveckling återstår inom nyttorealisering, kostnadsjämförelser och it-försörjningsstrategi. Mönstret går igen hos lärosätena men på en generellt lägre nivå. Nyttorealisering måste fokuseras kraftfullt samtidigt som lärosätena arbetar bra med kostnadsjämförelser. Mest kvar att utveckla finns hos övriga myndigheter. Här finns också stor potential i att utveckla portföljstyrningen. Det område som uppvisar lägst sammanlagt värde är modell för nyttohemtagning. Flera myndigheter har initierat ett arbete, men bara ett fåtal genomför det fullt ut. En konsekvent uppföljning av nyttohemtagning skulle säkerställa att de effekter som projekten ska uppnå fokuseras och realiseras. Särskilt hos lärosätena finns ett stort utvecklingsarbete att göra. Myndigheterna som deltog i E-delegationens arbete har kommit ett steg längre men även där återstår en hel del arbete. En möjlig orsak till det är it har haft ett särskilt fokus hos dessa myndigheter både av ledning och av verksamhet genom deltagandet i E-delegationens arbete. Enligt ESV:s bedömning vore det värdefullt att öka fokus på it och digitalisering genom en ökad dialog inom myndigheterna men också mellan myndighet och regering. 26

MOGNADSMÄTNING 3.1.9 Mognadsmåtten och ledningen Myndigheterna fick svara på om respektive mognadsmått förtjänar uppmärksamhet i myndighetens ledningsgrupp och om kriterierna för bedömning av mognadsmåtten fungerade bra. En majoritet av myndigheterna anser att måtten förtjänar ledningsgruppens uppmärksamhet. Mest positiv är man till frågan om nyttohemtagning. Lägst prioritet har it-kompetensförsörjningsplan, där knappt hälften av myndigheterna tycker att frågan hör hemma i myndighetens ledning. På den första frågan om kriterierna för bedömning av måtten är bra, svarar huvuddelen av myndigheterna ja. För de enskilda måtten ligger andelen ja-svar mellan 81 och 91 procent. Någon myndighet pekar på att det vore det bra med fler nivåer för kriterierna, och stärka fokus på i vilken mån myndigheterna också följer modellerna. 3.2 Informationssäkerhet en viktig del av it-mognad och intern styrning och kontroll En stor del av den information som skapas och lagras i samhället är både viktig och känslig. Det kan få allvarliga följder om informationen förloras, stjäls, manipuleras eller sprids till obehöriga. Om informationssäkerheten brister finns en risk att myndigheter och statliga bolag inte kan uppfylla sina skyldigheter, till exempel att betala ut ersättningar, hantera trafikledning av tåg eller förse samhället med elektricitet. Både enskilda och hela samhällsfunktioner kan drabbas. Enligt MSB:s föreskrift om statliga myndigheters informationssäkerhet (MSBFS 2009:10) ska en myndighet upprätthålla säkerhet i sin informationshantering och som ett led i detta arbete tillämpa ett ledningssystem för informationssäkerhet. Detta innebär enligt föreskrifterna att myndigheterna ska ha en informationssäkerhetspolicy ha någon eller några som leder och samordnar informationssäkerhetsarbetet klassa sin information genomföra risk- och sårbarhetsanalyser och utifrån dessa hantera risker dokumentera granskningar och vidtagna säkerhetsåtgärder av större betydelse. Föreskrifterna ställer även krav på att ledningen löpande informerar sig om arbetet med informationssäkerhet samt att ledningen minst en gång per år följer upp och utvärderar informationssäkerhetsarbetet på myndigheten. Riksrevisionens bedömning i granskningen Informationssäkerheten i den civila statsförvaltningen (RiR 2014:23) är att det finns omfattande brister i regeringens och 27