Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December 2008. Göran Persson Lingman, Louise Cedemar

Revisionsrapport Söderhamns kommun Översiktlig granskning kring kommunens IT-hantering December 2008 Göran Persson Lingman, Louise Cedemar

Innehållsförteckning 1. Sammanfattande bedömning...2 2. Inledning...4 2.1 Bakgrund...4 2.2 Syfte...4 2.3 Revisionsmetod och avgränsning...4 3. Granskningsresultat...5 3.1 Är roller och ansvar kring IT-hanteringen tydliga?...5 3.2 Finns det aktuella styrande och stödjande dokument kring IT och är dessa kända inom nämnderna?...8 3.3 Finns tillräckliga datorer, kommunikationsutrustning och annan teknik som säkerställer en stabil driftsmiljö?...10 3.4 Sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur och IT-avdelningens förmåga fungerar på ett tillfredsställande sätt?...13 3.5 Finns tillfredsställande kontroll avseende IT-relaterade kostnader?...14 3.5.1 Finansiering...14 3.5.2 Kostnadsuppföljning...15 3.6 Finns tillfredsställande rutiner för stöd, support och information till användare? Finns tillfredsställande rutiner och ansvar för rapportering och hantering av incidenter (problem)?...16 3.7 Finns tillfredsställande rutiner för installation och underhåll av programvara i användarnas datorer?...17 3.8 Finns tillfredsställande rutiner för inköp av teknisk utrustning, datorer och program?...18 Bilaga 1 Bilaga 2 Resonemang kring påverkansfaktorer Bild som visar roller och ansvar kopplat till granskningsobjekt 1

1. Sammanfattande bedömning Flera av de kontroller vi utfört har resulterat i ett positivt resultat. Vi har dock inom granskningen funnit ett flertal viktiga förbättringsområden. Samtidigt kan vi konstatera att det inom flera av de områden som vi bedömt vara otillfredsställande pågår ett förbättringsarbete. Områden som vi uppmärksammat och där det finns ett förbättringsbehov sammanfattas i nedanstående punkter: Vi bedömer att roller och ansvar avseende IT inom kommunen inte är tillräckligt tydliggjorda. Förutsättningar finns t ex via dokument som beskriver roller och ansvar men dokumenten är inte tillräckligt införda inom nämnderna. Tydliga krav på leverantören från verksamheten (t ex via SLA 1 ) saknas. Strategiska forum för diskussion kring utveckling, framtida krav på leverantören och uppföljning finns inte i praktiken, t ex saknas ett ITråd. Ansvar för säkerhetsarbetet är otydligt. Kring flera IT-system har det ej skett säkerhetsanalyser som stöd för säkerhet och tydliggörande av ansvar. Utifrån användares kommentarer kan vi konstatera att otydligheter skapar onödiga störningar för verksamheten. Inom kommunen finns flera aktuella dokument kring IT framtagna vilket är positivt. Dock är vår bedömning att dokumenten inte är tillräckligt kommunicerade i verksamheten. Därmed finns risker att dokumenten inte fyller sina syften. En översyn bör därför ske av de dokument som finns och att det i anslutning till detta görs en översyn av hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp (användare, chefer, systemägare m fl). Via användares kommentarer konstaterar vi att det förekommer störningar som påverkar verksamheterna negativt. Det är här viktigt att ansvariga för olika system skaffar sig en dokumenterad bild kring vilka problem som förekommer och att orsaker analyseras. Underlag från kommunens servicedesk bör kunna vara till hjälp i detta arbete. Här är det viktigt att det säkerställs att det finns en god kontroll inom nämnderna kring olika incidenter som uppstår. Vi ser risker med att förvaltningarna idag kan anstränga leverantörens förmåga utan att detta påverkar förvaltningarnas kostnader. Detta kan innebära att de inte får ökade medel för utrustning och personal för att möta de krav och behov som ökat antal system, an- 1 Service Level Agreement. Ett SLA kan beskrivas som en överenskommelse på de tjänster och krav på kvalité på utförda tjänster. Vad ska IT-avdelining leverera till verksamheten. 2

vändare och datorer medför. Belastningen på personalen ökar och kapaciteten i ITinfrastrukturen blir ansträngd. Vi föreslår här att samtliga IT-investeringar som sker inom förvaltningarna ska innehålla en konsekvensanalys. Vi bedömer att kommunens uppföljning av IT-relaterade kostnader inte är tillfredsställande. Det är t ex inte enkelt att erhålla sammanställningar kring vad ett system kostar. Detta i sin tur leder till att det inte är enkelt att följa upp kostnader inom förvaltningen. I detta sammanhang är det även viktigt att kunna erhålla en bild över vad olika roller lägger ner i tid på att utföra olika IT-relaterade uppgifter. Vi bedömer kommunens hantering av incidenter och problem som inte helt tillfredsställande. Förutsättningar finns men processer är inte införda inom nämnderna på ett tillräckligt sätt. Vi konstaterar dock att ett förbättringsarbete pågår. Det är viktigt att målsättningen med arbetet tydliggörs och kommuniceras inom hela kommunen, t ex tydliggöra vart användare ska vända sig då störningar uppstår. Målet i förbättringsarbetet är att minimera störningar och problem i det arbete som sker inom nämnderna. Vi kan dock konstatera att det pågår ett förbättringsarbete. 3

2. Inledning 2.1 Bakgrund Kommunens IT-stöd är av stor betydelse på olika sätt. Den moderna informationsteknologin ger möjligheter till att höja kvalité, säkerhet och effektivitet i verksamheten, sprida och öka tillgängligheten till information m m. Inom många områden är det idag självklart att IT är en förutsättning för att aktiviteter och processer skall fungera. IT blir en viktig del i verksamheten. Satsningar inom IT medför också risker att nyttan inte är tillräckligt hög i förhållande till de kostnader som är relaterade till organisationens IT. Nyttoeffekter som är relaterade till IT påverkas av en mängd olika faktorer, t ex tillräcklig infrastruktur, bra processer, rutiner, ansvar och kompetens. 2.2 Syfte Syftet med granskningen är att översiktligt bedöma om de utvalda områdena fungerar på ett tillfredsställande sätt. Resonemang avseende påverkansfaktorer finns i bilaga 1. Underlag från användarformulär kan komma att delges ansvariga för ytterligare analys och eventuella förbättringsåtgärder. 2.3 Revisionsmetod och avgränsning För genomförande har vi tagit del av relevanta dokument samt intervjuat IT-strateg och driftschef hos kommunens externa leverantör av IT-tjänster. Vi har via webbaserade frågeformulär samlat in uppgifter från användare. I rapporten kan IT-leverantören ses som kommunens IT-avdelning. Vi har även tagit del av en tidigare granskning kring IT-säkerhet (2006). Användare inom kommunen har besvarat frågor dels rörande kommunens IT i allmänhet och dels frågor som berör de IT-system som de använder mest. Vad avser de allmänna IT-frågorna så ställdes de till 1 874 användare, 449 st besvarade vårt formulär. Granskningen har avgränsats till de kontrollpunkter som redovisas under avsnitt 3, Granskningsresultat. 4

I granskningen kontrolleras ett flertal områden översiktligt. Granskningsobjektet är i första hand kommunstyrelsen (övergripande ansvar för IT inom kommunen). Dock berörs till delar kommunens samtliga nämnder inom kommunen då de har ett ansvar för effektivitet och säkerheten inom nämndens område. Se figur avseende roller och ansvar i bilaga 2. 3. Granskningsresultat Nedan följer de olika kontrollmoment vi genomfört i samband med granskningen. Vi har ställt upp kontroller som ett antal frågeställningar. Därefter redovisas våra iakttagelser från granskningen och våra bedömningar, kommentarer och vissa fall förslag till förbättringar. Iakttagelser kan vara både positiva och negativa. 3.1 Är roller och ansvar kring IT-hanteringen tydliga? Iakttagelser: Beskrivningar kring roller och ansvar finns i olika dokument. T ex ingår beskrivningar i kommunens IT-strategi. All drift av kommunens system sköts av extern IT-leverantör. IT-leverantören hanterar även inkomna ärenden t ex incidenter från användare via en servicedeskfunktion. 2 Ett ägardirektiv finns. Ägardirektivet beskriver inte vad som ska levereras av leverantören. Ett arbete med att förtydliga leverantörens tjänster och leveranser pågår. Det har påbörjats ett förbättringsarbete med att förtydliga ansvaret mellan kommunen och ITleverantören via en Detaljerad leveransspecifikation. Idag arbetar kommunen med att formulera sina krav på en generell nivå. Leverantören ska därefter besvara kravställningen med att ta fram ett serviceavtal (ett sk SLA) för olika system. Detta arbete ska vara färdigt vid halvårsskiftet 2009. I kommunens arbete med kravställning finns en grupp som består av IT-strateg och systemförvaltare. Systemägare finns inte representerade i gruppen. 2 En Servicedesk kan ses som en utvidgning av en helpdeskfunktion. Funktionen servicedesk är central för att ITfunktionens olika processer ska fungerar optimalt. En viktig tanke men en servicedesk är användare ska ha ett ställe att vända sig till. Servicedesken blir då kontakten/gränsnittet mellan användare och IT. 5

I kommunen finns en IT-strateg vars roll och ansvarsområden är beskrivna i kommunens ITstrategi. IT-strategen kan ses som en av verksamheternas motpart mellan IT-leverantören och kommunens förvaltningar. IT-strategen ser ett behov av att tydliggöra rollen, t ex kring att flytta fokus från operativt arbete till mer strategisk verksamhetsutveckling. Enligt IT-strategin är kommunens räddningschef ansvarig för IT-säkerhetsfrågor. Rollen som IT-säkerhetsansvarig upplevs som otydlig inom kommunen. En konsekvens av detta är att uppföljning och utvärdering av IT-säkerhet inom förvaltningarna ej sker på ett systematiskt sätt. Tydliga krav från nämnderna avseende t ex uppföljning av IT-säkerheten har varit eftersatta. I tidigare revisionsrapport angående IT-säkerhet från 2006 konstaterades bl a att ITsäkerhetsarbetet bör förbättras inom nämnderna. Ett förbättringsarbete är dock påbörjat kring IT-säkerhet. Ett första steg i detta arbete är att en gemensam resurs tillsatts av Hälsingekommunerna. Uppdraget är att utifrån gällande ITsäkerhetspolicy ta fram och införa IT-säkerhetsinstruktioner för förvaltning, användare och drift samt att genomföra systemsäkerhetsanalyser, dokumentera och införa dokumenten i verksamheten. Systemägare och systemförvaltare finns utsedda för de mest verksamhetskritiska systemen. Ansvar finns beskrivna i dokument. Enligt uppgifter är dokumentet kommunicerat till förvaltningarna. Vanligen är förvaltningschefen systemägare 3. IT-strategen upplever att systemförvaltarna är aktiva i sina roller. Dock saknas generella dokument kring systemförvaltning. Inom varje förvaltning finns vanligtvis en utsedd IT-ansvarig som arbetar med övergripande IT-frågor kring förvaltningens behov. En IT-grupp som består av IT-strateg och förvaltningarnas IT-ansvariga finns i kommunen. Enligt kommunens IT-strategi ska det i kommunen finnas ett IT-råd där olika uppgifter beskrivs, t ex ansvar för koncerngemensamma IT-investeringar, utveckling och arbete avseende kommungemensam standard/riktlinje. I huvudsak förekommer det inte något arbete inom ITrådet. Andra specifika forum där IT-frågor hanteras på strategisk nivå finns ej. Detta konstaterades även i granskningen av IT-säkerhet från 2006. 3 För varje IT-system bör finnas en systemägare (systemansvarig tjänsteman). Systemägare skall tillvarata användarnas krav och ha det övergripande ansvaret för att IT-systemet verkligen stödjer verksamheten och verksamhetens mål. 6

Nedan visas en graf hur användare i kommunen upplever tydlighet kring ansvar. 10.Det är för mig tydligt vart jag vänder mig med frågor när jag behöver hjälp med de system som jag i huvudsak använder 09.Det är tydligt vart jag vänder mig med frågor när jag behöver hjälp (support) avseende IT i allmänhet (din dator, andra system) 30.Om jag vill lämna förslag på förbättringar avseende mitt IT-stöd och rutiner är det tydligt för mig vart jag vänder mig. 01.Jag bedömer att det är tydligt för mig vem som ansvarar för olika frågor avseende IT i kommunen -21-77 202 150-21 -83 203 144-71 -82 191 67-65 -115 211 54-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Delvis Inte alls Ihuvudsak Helt Flera användare anger i kommentarer kring roller och ansvar konsekvenser som leder till störningar för verksamheten. Exempel på kommentarer kring tydlighet Kan vara svårt ibland att veta vem som ska hjälpa en med vad om datorerna krånglar, SPIKT eller Teknikparken svårt att få rätt hjälp Svårt att veta vem man skall vända sig till Svårt att nå någon ansvarig. Det känns som om allt tar tid. helt egentligen vi har fått muntlig info men det kanske är bra att få det i nån slags text Det borde finnas en "manual" över vem som ansvarar för vad. Vart men ringer för olika problem så man hamnar rätt på en gång. Manualen borde dels finnas lätt tillgänglig på nätet men också i en pappersversion. Det tar alldeles för låg tid och man blir skickad mellan olika instanser när det är något som man behöver ordnat. Det upplevs som att det finns lite för många ställen att vända sig till beroende på vilket typ av fel man har/ får. har inte tagit till mig information om vart jag vänder mig i så fall och konsekvenser är att jag inte lämnar några förslag (till förbättringar) 7

Iakttagelser som berör roller och ansvar finns intagna även under andra avsnitt i rapporten. Kommentarer och rekommendationer: Vi bedömer att roller och ansvar avseende IT inom kommunen inte är tillräckligt tydliggjorda. Förutsättningar finns t ex via dokument som beskriver roller och ansvar men dokumenten är inte tillräckligt införda inom nämnderna. Tydliga krav på leverantören från verksamheten (t ex via SLA) saknas. Strategiska forum för diskussion kring framtida utveckling, krav på leverantören, och uppföljning finns inte i praktiken, t ex saknas ett IT-råd. Ansvar för säkerhetsarbetet är otydligt. Kring flera IT-system har det ej skett säkerhetsanalyser som stöd för säkerhet och tydliggörande av ansvar. Vi konstaterar dock att det påbörjats ett förbättringsarbete t ex kring avtal med leverantören och tillsättande av en gemensam resurs avseende arbetet med IT-säkerhet. Detta är givetvis positivt. Utifrån användares kommentarer synes otydligheter skapa onödiga störningar för verksamheten. 3.2 Finns det aktuella styrande och stödjande dokument kring IT och är dessa kända inom nämnderna? Iakttagelser: De dokument som vi tagit del av är; IT-strategi för Söderhamns kommun, 2000-01-31 IT-säkerhetspolicy, 2003-12-11 Genomförande av utbyte av IT-plattform samt införande av regelbundet utbyte av ITutrustning, 2005-11-30 Avtal om distansarbete Dokumentmall för investering i IT-system Checklista för kostnadsuppskattning av anskaffning av IT-system Blankett för beställning av IT-arbetsplats Blankett för förbindelse vid aktivering av användarkonto Systemsäkerhetsplaner saknas för kommunens IT-system. Ett utkast finns avseende förvaltning. Arbetet med att se över säkerheten för systemen via arbete med s k systemsäkerhetsanalyser genomförs inte på något systematiskt sätt inom kommunen. Ett sådant arbete innebär kartläggning av informationsklassificering, hot, risker och vad som krävs för att skydda sig. 8

Nedan visas graf från användarsvar. 03.Det tydligt var aktuella ITdokument finns tillgängliga -59-127 208 34 02.Det är känt vilka olika riktlinjer och regler som finns inom kommunen avseende IT -30-130 221 58-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Delvis Inte alls I huvudsak Helt Exempel på kommentarer från användare Saknas riktlinjer t.ex. dålig sållning av information via mail. Vet vilken policy som gäller men svårt för ansvariga att svara när man ifrågasätter saker. Jag vet inte vilka regler som finns inom kommunen för detta. Man söker info på olika håll. Skulle behöva påminnelse om var dessa dokument finns, samt dessutom läsa igenom dom för att bättra på kunskapen Inte känt för alla att man t.ex. ska öppna sin post vilket innebär att svarstiderna blir långa. blanketter på webbsidan är svåra att förstå vilket man ska använda Det förutsätts att alla ska veta vissa saker men så fungerar det inte pga för dåliga rutiner när det gäller intern-information. 9

En del ligger på intranätet men är det alla? och är dom uppdaterade? Ingen har talat om för mig var dom finns jag har, av en slump, hittat dom själv. Även om vissa dokument finns att ladda hem via intranätet så är det inte säkert att det finns förklaring vilket dokument det är man ska ha. Mer information önskas om när/var/hur dokumenten ska användas Kommentarer och rekommendationer: Inom kommunen finns flera aktuella dokument kring IT framtagna vilket är positivt. Dock är vår bedömning att dokumenten inte är tillräckligt kommunicerade i verksamheten. Därmed finns risker att dokumenten inte fyller sina syften. En översyn bör därför ske av de dokument som finns och att det i anslutning till detta görs en översyn av hur olika dokument ska kommuniceras till ansvariga och användare. Utgångspunkten bör vara att rätt information når rätt målgrupp (användare, chefer, systemägare m fl). Givetvis innebär detta sedan att dokumenten efterlevs. Det är viktigt att det inom nämnderna genomförs systemsäkerhetsanalyser för verksamhetskritiska system inom kommunen enligt de intentioner som finns. 3.3 Finns tillräckliga datorer, kommunikationsutrustning och annan teknik som säkerställer en stabil driftsmiljö? Iakttagelser: Kommunens nät är indelat i två logiskt åtskilda nät ett administrativt nät och ett elevnät. I det administrativa nätet finns 801 datorer och 2125 användarkonton. I elevnätet är 1382 datorer anslutna och 4117 användarkonton. För att säkerställa att de datorer som finns i nätet inte orsakar störningar finns en enhetlig Bas-arbetsplats. Kommunstyrelsen beslutade 2005-03-10 att anta förslag avseende strategi för hantering av IT-utrustning, KS 71/050310. Beslutet innebar i korthet att utbyte av datorer ska ske regelbundet vart tredje år samt att Söderhamns kommun inte själva ska äga utrustningen utan att man istället ska hyra/leasa densamma. En modell som beskriver kostnadsfördelning för investering av IT-utrustning finns framtagen. Att hyra/leasa IT-utrustning har enligt de intervjuade effektiviserat hanteringen. Detta sparar tid och säkerställer för kommunen att den utrustning de får är kontrollerad och testad. Leverantören arbetar med att förbättra (trimma) sin verksamhet för att stödja kunderna på ett ännu bättre sätt. 10

Söderhamns kommun äger för närvarande alla servrar. I den nya detaljerade leveransspecifikationen med leverantören flyttas ägandet över till leverantören. Leverantören kommer att äga servrarna och kommunen kommer att arbeta med aktiv avtalshantering vilket innebär att de följer upp avtalet kontinuerligt för att säkerställa att de får rätt service. Enligt uppgifter finns rutiner och resurser kring byte och uppdatering av datorer. Rutiner ska bland annat stödja att uppdatering inte stör driftsäkerheten. Utrustning som varnar för olika typer av störningar (t ex system och servrar som är nere) finns inköpt men är ännu inte driftssatt. Utrustning finns ej för att kontrollera prestanda i kommunens nät. Ansvariga bedömer att det finns tillräcklig teknisk utrustning för en tillförlitlig och effektiv infrastruktur. Ansvariga ser ett behov att förbättra dokumentationen kring viktiga komponenter i kommunens infrastruktur. Nedan visas grafik kring driftsäkerhet och svarstider. 07.Jag har tillgång till den ITutrustning (datorer, skrivare etc) som krävs. -22-81 147 205 06.Gör en grov uppskattning av hur mycket tid du förlorar pga t ex avbrott, väntetider och fel -29-74 193 113 05.Driftsäkerheten är acceptabel då jag arbetar med min dator -21-76 297 53 04.Svarstiderna är acceptabla då jag arbetar med min dator -52-100 249 50-100% -80% -60% -40% -20% 0% 20% 40% 60% 80% 100% Delvis Inte alls I huvudsak Helt 11

Flera användare inom Barn- och utbildningsförvaltningen har lämnat kommentarer avseende att de är flera som delar på en dator vilket innebär att de inte kan arbeta effektiv och att de saknar fungerande skrivare. Kommentarer avseende driftsäkerheten gäller bland annat att datorn tappar kontakt med servern och att det ibland inträffar att de slängs ut från olika program. En användare kommenterar att det förekommer problem kring trådlöst nätverk. Exempel på kommentarer från användare visas nedan; Ibland loggar datorn ut av sig själv. Blir ibland utslängd ur mitt H:, men kan oftast komma in igen genom att starta om datorn. Detta innebär dock tidsförluster. Jag har också problem med skrivare som ofta är offline när jag behöver utskrift. De två senaste dagarna har det varit mycket trassel. Det trådlösa nätet på Staffangymnasiet "fladdrar" ibland. Kommer och går. Det är frustrerande då man håller en lektion och ständigt tappar nätkontakten. Elevernas datorer fungerar ejoch har inte fungerat fastän de är nya. Tyvärr är läromedlet webbaserat, vilket ställer till stora problem. Skolnätet svajar och ligger nere nån gång så att det är omöjligt att arbeta Trådlösa nätverket måste fungera bättre. Vårt trådlösa Internet är under all kritik. Flera gånger per dag måste jag logga ut och logga in för att få kontakt med min H:mapp Det sker ofta avbrott och man måste starta om datorn Vid avbrott saknar man ofta info på Intranätet. Har ingen chans att fortsätta arbete vid vissa stopp. Har en känsla av arbete utförs av IT-drift och support under kontorstid vilket stör. Har dock inget konkret belägg för att det är så... Driftsäkerheten är bättre nu än tidigare Det har varit en del "strul" på sista tiden men det finns bra support att tillgå 12

Kommentarer och rekommendationer: Vår bedömning är att det utifrån dagens krav finns en tillfredställande infrastruktur. Vi konstaterar även att det pågår ett kontinuerligt förbättringsarbete för att förstärka driftssäkerheten. Den bild som vi fått via användares kommentarer är dock att det förekommer störningar som stör verksamheterna. Det är här viktigt att ansvariga för olika system skaffar sig en dokumenterad bild kring vilka problem som förekommer och att orsaker analyseras. Underlag från kommunens servicedesk bör kunna vara till hjälp i detta arbete. Här är det viktigt att det säkerställs att det finns en god kontroll inom kommunens kring olika incidenter som uppstår. Se mer kring servicedesk i avsnitt 3.4 och 3.5. 3.4 Sker uppföljning mot användarna i syfte att säkerställa att gemensam infrastruktur och IT-avdelningens förmåga fungerar på ett tillfredsställande sätt? Iakttagelser: En sevicedesk 4 finns dit användare kan vända sig vid problem eller incidenter. Information som genereras i servicedesken följs upp av leverantören. Vid möten mellan leverantören och kommunens IT-grupp presenteras resultat av uppföljningen. Leverantören stödjer sig på ITIL 5 i detta arbete. Ett förbättringsarbete avseende servicedesken pågår. Ett förbättringsområde som anges av ansvariga är att bättre analysera informationen som genereras i servicedesken. Leverantörens tjänsteleveranser och uppföljning av service diskuteras idag inte i något formaliserat forum. Ansvariga hos såväl leverantören som hos kommunen uttrycker ett behov av att följa upp detta bättre inom nämnderna. 4 Servicedesk kan ses som en utvidgning av en helpdeskfunktion. Funktionen servicedesken är central för att IT-funktionens olika processer ska fungerar optimalt. Ett viktigt syfte med en servicedesk är användare ska ha ett ställe att vända sig till. Servicedesk ska vara kontakten/gränsnittet mellan användare och IT. 5 ITIL IT Infrastructure Library. Är ett processorienterat arbetsätt där målet är att stödja verksamheterna på ett optimalt sätt. 13

Som en del i arbetet med att ta fram en detaljerad leveransspecifikation pågår ett arbete med att ta fram en operativ styrmodell för kommunens IT-hantering. Uppföljning av hur användarna uppfattar hur deras IT-stöd fungerar har följts upp via medarbetarenkäter. Fram till år 2006 gjorde IT-strategen IT-bokslut varje år. Då intresset från kommunledningen var lågt så har inte arbetet genomförts under 2007. Kommentarer och rekommendationer: Vi kan konstatera att det pågår förbättringsarbeten avseende uppföljning. T ex upplever vi den tänkta operativa styrmodellen som positiv. Det är även planerat att förbättra driftsleverantörens uppföljning och proaktiva arbete genom rapporter och analysunderlag från servicedesken. I detta sammanhang är det viktigt att det inom nämnderna tydliggörs vart användare vänder sig i olika ärende rörande IT. T ex att användarna alltid först vänder sig till servicedesk och att servicedesk, i de fall de inte kan hjälpa till direkt har ett ansvar för att ärendet hamnar hos rätt ansvarig. 3.5 Finns tillfredsställande kontroll avseende IT-relaterade kostnader? 3.5.1 Finansiering Iakttagelser: Alla förvaltningar har en IT-budget. Inom budgeten ska kostnader för drift, kommunikation, datorer, servrar, program och licenser rymmas. Förvaltningarnas IT-kostnader fördelas enligt följande; IT-driftskostnad (baserat på antal PC och användarkonton, samt drift och support av verksamhetssystem) IT-kommunikationskostnad (baserat på antal anslutna PC) Dator- och serverkostnad (i form av hyreskostnad i 36 månad) Program-/licenskostnad för koncerngemensamma applikationer (baserat på antal PC och/eller användarkonton) Kostnaderna för drift samt kommunikation avser tjänster som tillhandahålls av Söderhamn Teknikpark medan kostnaderna för datorer, servrar samt program och licenser fördelas på varje förvaltning (enligt ovan) inom Söderhamns kommun. 14

Kommungemensamma (som berör många enheter) IT-investeringar ska tas på strategisk nivå. Dokumentmall för investering i IT-system finns framtaget. En investeringskalkyl ska göras i samband med en större investering. Vid inköp av system är IT-strategen oftast med i diskussionen med förvaltningen men det händer ibland att det sker utan hans vetskap. Detta innebär i nästa steg att det kan vara så att leverantören blir ansträngd utan att de fått varit med i diskussionen. Rutiner för inköp av system kommer att styras upp i avtalet med leverantören. Kommentarer och rekommendationer: Vi bedömer att kommunens finansieringsmodell i huvudsak är tillfredsställande. Vi ser risker med att förvaltningarna idag kan anstränga leverantörens förmåga utan att detta påverkar förvaltningarnas kostnader. Detta kan innebära att de inte får ökade medel för utrustning och personal för att möta de krav och behov som ökat antal system, användare och datorer medför. Belastningen på personalen ökar och kapaciteten i ITinfrastrukturen blir ansträngd. Vi föreslår här att samtliga IT-investeringar som sker inom förvaltningarna ska innehålla en konsekvensanalys. Analysen bör tar hänsyn till vad det kostar för respektive förvaltning, men även vad förändringarna medför för ITleverantören och andra berörda verksamheter. Verksamhet och ledning bör känna till vilka konsekvenser detta kan medföra. 3.5.2 Kostnadsuppföljning Iakttagelser: Det är enligt uppgifter inte enkelt att erhålla en övergripande bild av gemensamma externa kostnader som berör IT inom kommunen. Tidigare följdes IT-avdelningens samtliga kostnader upp i IT-bokslutet. Då detta inte har efterfrågats av styrelse och nämnder görs idag inget IT-bokslut.. En checklista för kostnadsuppskattning vid anskaffning av IT-system finns framtagen. Från ansvariga anges att kontroll och kostnadsuppföljning av IT är ett förbättringsområde inom kommunen. Avseende kommunens totala kostnader sker ej någon kontinuerlig uppföljning. Kodplanen stödjer möjlighet att följa upp IT-relaterade kostnader via redovisningen. Denna möjlighet nyttjas dock i varierande grad inom nämnderna. 15

Kommentarer och rekommendationer: Vi bedömer att kommunens uppföljning av IT-relaterade kostnader inte är tillfredsställande. Det är t ex inte enkelt att få sammanställningar kring t ex vad ett system kostar. Detta i sin tur leder till att det inte är enkelt att följa upp kostnader inom förvaltningen och inom kommunen. I detta sammanhang är det även viktigt att kunna få en bild över vad olika roller lägger ner i tid för att utföra olika IT-relaterade uppgifter. 3.6 Finns tillfredsställande rutiner för stöd, support och information till användare? Finns tillfredsställande rutiner och ansvar för rapportering och hantering av incidenter (problem)? Iakttagelser: En servicedesk finns (hos leverantör) som tar hand om ärenden som inkommer från användare. Anmälan till servicedesken kan ske per telefon (nummer finns på Intranätet) eller via Intranätet. Vissa processer enligt ITIL finns införda. T ex finns en incidenthanteringsprocess med i avtalet mellan kommunen och leverantören. De processer som finns ger förutsättningar att underlätta åtgärdande av fel för användaren. Ansvariga hos leverantören ser ett behov av att förbättra processer enligt ITIL. Från ansvariga uttrycks att de kommit långt avseende servicedesken men att det finns mycket som återstår. Ansvariga anger att användandet av servicedesken bör lyftas på en strategisk nivå så att verksamheten och användarna förstår nyttan av att alltid vända sig till servicedesk vid problem och incidenter. Ett annat förbättringsområde som anges är att rutiner för prioritering av ärenden behöver utvecklas. Leverantören efterfrågar bättre krav från verksamheten så att de prioriterar ärenden efter vad kommunen anser är viktigast. Idag är detta inte tillräckligt tydligt vilket påverkar verksamheterna. Idag är det lite av de som skriker högst får hjälp först. Dock sker en dialog mellan leverantören och IT-strategen i vissa ärenden. Leverantören dokumenterar olika typer av fel enligt olika kategorier. Dokumentationen behöver utökas för att det ska bli användbart för kommunen så att de på ett systematiskt sätt kan följa upp och analysera olika typer av fel. Det är varje förvaltnings ansvar att genomföra utbildningar i syfte att tillgodose användarnas generella kompetensbehov gällande IT. Ansvariga anger att omvårdnadsförvaltningen är ett bra exempel där användare utbildats på ett sätt positivt sätt. 16

Vid intervjuer har framkommit att det finns ett behov av att kommunen tar ett gemensamt grepp på användarnas generella kunskaper. Rutiner för rapportering av kända fel och driftsstörningar till användare finns. Rapportering sker via intranätet där de har ett informationsfönster varje onsdag. Verktyg finns för att fjärrstyra datorer för att snabbt ha möjlighet att åtgärda problem. Många användare utrycker en osäkerhet kring vart de vänder sig i olika IT relaterade frågor. Kommentarer från användare indikerar även att det förekommer problem där kompetensen kan varar en orsak. Kommentarer och rekommendationer: Vi bedömer kommunens hantering av incidenter och problem som inte helt tillfredsställande. Förutsättningar finns men processer är inte införda på ett tillräckligt sätt. Vi konstaterar dock att ett förbättringsarbete pågår. Det är viktigt att målsättningen med arbetet tydliggörs och kommuniceras inom hela kommunen, t ex tydliggöra vart användare ska vända sig då störningar uppstår. Målet i förbättringsarbetet är att minimera störningar och problem i det arbete som sker inom nämnderna. Ett förbättringsområde enligt ovan är prioritering av ärenden. Här kan tilläggas att ett viktigt stöd för prioriteringar av ärenden är att genomföra de systemsäkerhetsanalyser som nämns i bl a avsnitt 3.2. Vi föreslår att kompetensbehovet för användare inom kommunen analyseras av ansvariga för olika system och verksamheter. D v s vad är det som användare och ansvariga behöver kunna för att utföra olika aktiviteter i system och andra program samt inom andra väsentliga IT-områden. Därefter bör generella utbildningsprogram tas fram som bör vara obligatoriska. I detta arbete bör ärenden som inkommer till servicedesken kunna vara till god hjälp. 3.7 Finns tillfredsställande rutiner för installation och underhåll av programvara i användarnas datorer? Iakttagelser: Programvara finns för att kontrollera innehåll i användarens pc. För stationära och bärbara datorer finns två varianter; en Bas och en utökad. På en Bas-dator kan användaren inte installera egna program men på den utökade datorn så tillåts detta. 17

Leverantören har i uppdrag att hantera licenser, dessa kontrolleras varje år och rapporteras till leverantören. Leverantören upplever inte att de har något annat licensansvar eftersom det inte finns någon sådan efterfrågan från kommunen. Riktlinjer för användare finns framtagna som beskriver hur användaren får hantera sin dator. Kommentarer och rekommendationer: Vi bedömer att kommunens hantering av program i huvudsak är tillfredsställande. Det är dock viktigt att det sker uppföljning som säkerställer att det finns en tillfredsställande hantering av program och licenser i hela organisationen. 3.8 Finns tillfredsställande rutiner för inköp av teknisk utrustning, datorer och program? Iakttagelser: Rutin finns för inköp av teknisk utrustning, datorer och program. Blankett finns framtagen som ska fyllas i och sedan skickas till leverantören. Det är endast utsedda personer i verksamheten som får beställa IT-utrustning. Budgetansvarig har utsett vem som får beställa. Leverantören har ramavtal med leverantör av hård- och mjukvara. Beställningen över vilket IT-stöd arbetsplatserna ska utrustas med kan förbättras enligt driftschefen hos IT-leverantören. Grupperna måste definieras (skola och administrativ) och det ska bygga på verksamheternas kravställningar. Vid intervjuer framkommer att inköpsrutinen inte efterlevs fullt ut. Det händer att förvaltningar köper in utrustning själva. Vid framtagandet av basdatorn och dess innehåll så skulle detta tillämpas av samtliga nämnder. Det har dock visat sig att skolan hade avvikande behov. Skolan har själva gjort inköp vid sidan om köpt utanför basdatorn men inom det ramavtal som finns. Rutin för avyttring och skrotning finns. 18

Kommentarer och rekommendationer: Vi bedömer att de rutiner som finns avseende inköp av datorer i huvudsak är tillfredsställande. Vi föreslår dock att kommunen kontinuerligt säkerställer, via uppföljning, att rutinen för inköp och centralt omhändertagande av datorer tillämpas av verksamheten. Vi konstaterar att hanteringen av inköp avviker inom nämnderna varför vi föreslå att det sker en översyn kring detta. 19