Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster



Relevanta dokument
Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Orana AB. Revisionsrapport. Uppföljande revision nr 2. Denna rapport inklusive allt innehåll är konfidentiellt och tillhör Intertek

Vetenskapsrådets informationssäkerhetspolicy

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Uppföljning av tidigare granskningar av öppenvårdsinsatserna inom IFO-Barn och familj i Borås stad

1T1 SOLLENTUNA KOMMUN e

Tal till Kungl. Krigsvetenskapsakademien

Yttrande över E-delegationens slutbetänkande En förvaltning som håller ihop (SOU 2015:66)

Informationssäkerhetspolicy för Vetlanda kommun

Patientsäkerhetsberättelse för Kungälvs kommun

FAGERSTA KOMMUN LEDNINGSSTRATEGI

ABCD. Ärendehantering Granskningsrapport. Säters kommun. Offentlig sektor KPMG AB Antal sidor:6 Säter är hant.docx

Revisionsrapport. Granskning av nystartsjobb. Ramtiden felaktigt beräknad. Arbetsförmedlingen STOCKHOLM

Revisionsrapport 2012 Genomförd på uppdrag av revisorerna januari Vellinge kommun. Fastighetsunderhåll

Nr Iakttagelse Risk Risknivå Pensionsmyndighetens svar till Riksrevisionen , dnr VER

Revisionsrapport Kammarkollegiet Box STOCKHOLM

Riktlinjer för redovisning av myndigheternas åtgärder inom e-förvaltningsområdet

Systemförvaltningshandbok

Arbetsförmedlingens Återrapportering 2014


2015 års patientsäkerhetsberättelse och plan för 2016 Daglig Verksamhet Falkenberg Nytida AB

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Informationssäkerhet - Instruktion för förvaltning

Kvalitetsgranskning vid besök i verksamhet

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Mina Meddelanden - Risk- och Sårbarhetsanalys för anslutande kommuner

Revisionsstrategi

Beredningsprocessen i kommunens nämnder och styrelsen

ABCD. Tranås kommun. Granskning av socialnämnden Försörjningsstöd och arbetsmarknadsarbete. KPMG 12 november Tommy Nyberg Antal sidor:12

Generell Analys. 3. Det är viktigt att du väljer ett svar i vart och ett av de åttio blocken.

Karpesjö Consulting 1

Effektivare offentlig upphandling

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

Revisionschecklista för ISO 9001:2008. Översättning och bearbetning av SNV Audit-Checkliste für ISO 9001:2008

VÄLFÄRDSFÖRVALTNINGENS LEDNINGSSYSTEM FÖR SYSTEMATISKT KVALITETSARBETE ENLIGT SOSFS 2011:9

Handlingsplan för jämställdhetsintegrering

IT-Systemförvaltningspolicy

Riktlinjer och Instruktion för klagomålshantering

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Revisionsrapport stöd till användarna av IT-system i vårdverksamheterna, Landstinget i Östergötland

Granskning av intern kontroll

Revisionsrapport. Löpande granskning av Försvarsmakten Sammanfattning. Försvarsmakten Stockholm

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

IT-verksamheten, organisation och styrning

Protokoll Standards Exposure Arbetsgruppen Yrkestekniska fra gor, Mo te

Hållbar organisations- utveckling

Revisionsrapport Miljöarbetet inom Region Östergötland

Vilket stöd behövs för att förbättra säkerhetskulturen? Karin Sundh-Nygård, Arbetsmiljöverket 5 februari 2013

ÖREBRO LÄNS LANDSTING. Ledningskansliet. Riktlinjer för Örebro läns landstings internationella engagemang

Digital strategi för Strängnäs kommun

STRÖMSTADS KOMMUN SÄKERHETSPOLICY. Antagen av Kommunfullmäktige

Patientsäkerhetsberättelse för vårdgivare gällande Fäladshöjden Lund

Revisionsrapport Sigtuna kommun Kommunens demensvård ur ett anhörigperspektiv

Vision för en psykiatrisamverkan i Världsklass 2015 strategisk samverkan i Örnsköldsvik

BUDGET OCH VERKSAMHETSPLAN 2012

Lednings- och styrdokument STYRNING OCH ORGANISATION. Styrdokument antaget av kommunfullmäktige den 20 juni 2011

Följa upp, utvärdera och förbättra

Ramverk för systemförvaltning

Riksrevisionens rapport om regeringens hantering av risker i statliga bolag

Nationell strategi för inköp i offentlig sektor

Revisionsplan Stenungsunds kommun Revisorerna

Revisionsrapport av vård- och omsorgsnämnden

Borlänge kommun. Internkontroll KS Kontrollområde: Tydlig rubricering av ärenden, Nämndservice. Beslutad av kommunstyrelsen

Riktlinjer för kommunikation

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

Handlingsplan för att stärka patientens ställning i hälso- och sjukvården :

Kommentarer och riktlinjer för tillämpning av Håbo kommuns samverkansavtal

Landstingsstyrelsens förslag till beslut

Informationssäkerhetspolicy

Ersättningspolicy för Rhenman & Partners Asset Management AB

POLICYSAMMANFATTNING FRÅN ENTREPRENÖRSKAPSFORUM VARFÖR SILOTÄNKANDE KAN VARA BRA FÖR INNOVATION

Varbergs kommun. Kommunens IT-verksamhet Granskningsrapport. Audit KPMG AB 13 april 2015

Regionalt handlingsprogram för besöksnäring och turism för Örebroregionen

Stadsledningskontoret

Avrapportering, KS-VOO , Malmö stads strategi och handlingsplan för ehälsa

Om ni skulle göra om Lupp vad skulle ni göra bättre/ändra på?

Förstudie. Nerikes Brandkår. Diarieföring av allmänna handlingar Ref Roger Wallin

SOX & ISO 9000-serien

Samtycke vid direktåtkomst till sammanhållen journalföring

Remissvar En förvaltning som håller ihop. KS

Chefs- och ledarhandbok i Markaryds Kommun

Ledningssystem för systematiskt kvalitetsarbete inom verksamheterna flykting och HVB

Övergripande granskning IT-driften

FAGERSTA KOMMUN SOCIALFÖRVALTNINGEN. Ledningssystem för Systematiskt kvalitetsarbete

Tjänsteskrivelse 1 (2) Handläggare Datum Beteckning. Kommunrevisionen MISSIVSKRIVELSE

Granskning uppföljning av långtidssjukfrånvaro

Arbetsanpassning. Härnösands kommun Kommunstyrelseförvaltningen RIKTLINJER/RUTINER. Riktlinje KS :

Missiv Dok.bet. PID131548

SYSTEMATISKT ARBETSMILJÖARBETE FÖR FRIDHEMS FOLKHÖGSKOLA SVALÖV

Kommunhuset, Administrativ service

Strategi för patient- och brukarmedverkan i Norrbottens län

Lönsam syn på lön. är det möjligt? En gemensam skrift från Ledarna och Industri- och KemiGruppen

Mätning av inköpsmognad som verktyg för framgång i offentlig sektor

Lägesrapport avseende införandet av miljöledningssystem med förslag till det fortsatta arbetet.

Granskning av bisysslor. 25 september 2013

Mål och handlingsplan för jämställdhetsintegrering

Patientsäkerhetsberättelse

Är din plattform redo för High Performance?

Transkript:

Bengt E W Andersson 2008-11-19 Föredrag vid Dokumentinfos Strategiseminarium, IT i offentlig sektor offentliga e-tjänster, den 19 november 2008, World Trade Center, Stockholm. Ledningen i fokus - starkare styrning krävs för att utveckla statlig verksamhet med bra och säkra IT-/e-tjänster Sammanfattning Under åren 2002 2007 har revisionen genomfört ett tjugotal granskningar med fokus på myndighetsledningarnas styrning av IT. Av särskilt intresse att granska var myndigheternas utveckling av e-förvaltningen. I flera fall konstaterar revisionen att utvecklade IT-/e-tjänster inte uppfyller kriterier på att vara lämpliga, bra, säkra eller förtroendeingivande. En orsak till detta är brister i ledningens interna styrning och kontroll av den IT-baserade verksamhetsutvecklingen och relaterad IT-/informationssäkerhet. Statliga revisionsmyndigheter i andra länder har återkommande uppmärksammat att myndighetsledningar behöver utöva en bättre styrning av IT. Viktiga styrfrågor för ledningen är: o att ledningen är engagerad i och väl förtrogen med styrningen av IT, o att ledningen svarar för att tydliga förutsättningar för styrning finns i organisationen (principer, strategier, ansvar, organisation, processer, stöd, kontroller) o att ledningen får bra kvalitet i beslutsunderlagen om inriktningen av ITstödet, enskilda IT-/e-tjänster och säkerhetsåtgärder o att ledningen säkerställer att IT-projekt och projekt för IT- /informationssäkerhet får realistiska förutsättningar att lyckas (ambition, tid och resurser, kompetens) o att ledningen får fakta om såväl status för IT-stödets utveckling respektive hur säkerhetsåtgärder genomförs, som resultatet och effekterna av investeringarna i förhållande till ledningens mål och krav o att ledningen kontrollerar och agerar för att tillräcklig kunskap, kompetens och erfarenheter av styrning av IT finns på alla nivåer i organisationen (styrelse, ledning, verksamhetsansvariga, projektledare, medarbetare) o att ledningen kontinuerligt förbättrar sin interna styrning och kontroll av IT-stödets utveckling samt IT-/informationssäkerheten. Bengt E W Andersson, Effektivitetsrevisionen vid Riksrevisionen, står själv för de slutsatser och rekommendationer som förs fram i denna PM och under strategiseminariet.

1. Fokus på ledningens styrning av IT Den svenska statliga revisionen har åren 2002 2007 i ett 20-tal revisionsrapporter redovisat behov av bättre styrning från myndighetsledningar vad gäller: IT-baserad verksamhetsutveckling Utveckling av e-förvaltningen IT-/informationssäkerhet 2. I flera fall är utvecklade IT-/e-tjänster inte lämpliga, bra, säkra eller förtroendeingivande Olika typer av risker och problem som uppmärksammats i granskningarna är: Blir det rätt beslut om IT-stöd? Myndigheter har svårt få fram bra förslag om IT-stöd. Förslagen bereds och testas inte tillräckligt före beslut. Förslag till e-tjänster grundas inte i effektivisering av underliggande informationssystem. Interna lönsamhetskrav håller tillbaka förslag till e-tjänster. I ledningens beslutssituation finns inte alternativa förslag. Styrs utvecklingen av IT-stöd på ett bra sätt? IT-projekt är ofta fristående och inte del av projekt för verksamhetsförändring. Projekt startar utan att realistiska förutsättningar. Ledningens styrning av projekten brister i riskhantering. Istället för att agera på förhand på risker försöker man lösa uppkomna problem i efterhand. Myndigheter har svårt att införa rutiner för att ta till vara erfarenheter från genomförda projekt. Blir det ett bra IT-stöd? Risk för att medborgare utestängs från e-tjänster (digitala klyftan). Risk för att alternativa tjänster (brev, telefon, möten etc.) tas bort. Dålig anpassning av e-tjänster till målgrupper. Ledningen har svårt att mäta och följa upp resultat och effekter av utvecklade IT-tjänster i förhållande till målen med investeringen. Är IT-stödet säkert och förtroendeingivande? Virusattacker slår igenom och får verksamheten att sluta fungera E-mail fungerar inte, verksamheten störs ut av spamattacker, Misslyckad uppgradering av e-tjänst leder till att en viktig samhällstjänst stängs i flera veckor

Känsliga data i en e-tjänst röjs Dataintegriteten åsidosätts med följd att olovlig ändring av data sker Tjänstens trovärdighet ifrågasätts 3. Bättre styrning ger bättre IT-baserad verksamhetsutveckling Som regel kan risker och problem spåras tillbaks till svagheter i ledningens styrning av IT. Bättre styrning från ledningen behövs för att motverka risken för att vanliga styrproblem med IT-baserad verksamhetsutveckling uppstår. Ledningen bör överväga följande förutsättningar för styrningen: Att ledningen gör sin strategi för verksamhetsutveckling tillräckligt tydligt för att kunna styra arbetet med att initiera förslag till ITstöd. Ledningen bör initiera systematiska genomgångar av verksamheternas processer, benchmarking etc. Att ledningen ställer krav på bättre beredning och kvalitet i beslutsunderlagen och att förslagen på ett tydligt sätt kopplas till tidigare, pågående eller andra beslutade IT-investeringar. Att ledningens beslut om IT-investeringar i större utsträckning inryms i beslut om verksamhetsutvecklingsprojekt. I dessa projekt integreras IT-stödets utveckling med utveckling av förändrade arbetssätt, personal och organisation. Att ledningen följer upp, kontrollerar och styr utvecklingsprojekt mer proaktivt så att risker inte övergår till problem. Ledningen bör svara för att etablerade metoder och modeller för utvecklingsarbetet och dess styrning används konsekvent i projektens alla faser. Att ledningen skapar rutiner för att viktiga erfarenheter och kunskaper från utvecklingen av IT-baserad verksamhetsutveckling tas om hand, analyseras, sprids och kommer till användning. Att ledningen systematiskt utvecklar sin interna styrning och kontroll av IT-baserad verksamhetsutveckling. Styrningen bygger på tydliga regler, fördelning av ansvar, samordnade delprocesser, lämpliga metoder för delprocesser, systematisk dokumentation, uppföljning och förvaltning av delprocesser. 4. Bättre kontroll ger säkrare och mer trovärdiga IT-/e-tjänster Bättre styrning från ledningen krävs för att motverka risken för att vanliga styrproblem med IT-/informationssäkerheten uppstår. Ledningen bör överväga följande förutsättningar för styrningen:

Att ledningen är väl insatt i och utövar sitt ansvar och sina uppgifter för styrning av IT. Okunskap och ett för lågt engagemang från ledningens sida hämmar arbetet med IT-/informationssäkerhet i organisationen. Att ledningen har ett helhetsgrepp om säkerhetsarbetet. Delegering av ansvaret för säkerheten för långt ned i organisationen ökar risken för att ledningsperspektivet i säkerhetsarbetet går förlorat. Att ledningens prioriterade beslut om säkerhetsåtgärder bygger på systematiska riskanalyser för verksamheten som helhet. Om riskanalyser saknas finns inte förutsättningar för ledningen för uppföljning av beslutade åtgärder. Att ledningen får faktabaserad uppföljning av hur säkerhetsarbetet genomförs. Utan mått, rutiner för uppföljning och fakta får inte ledningen kunskap om beslutade åtgärder genomförs enligt beslut och vilken status informationssäkerheten håller. Att ledningen säkerställer säkerhetskompetensen i organisationen. Otillräcklig utbildning av styrelse, ledning, chefer och personal ökar risken för felaktiga beslut i säkerhetsfrågor på alla nivåer. Att ledningen får faktabaserad uppföljning av styrningens effektivitet. Utan en systematisk uppföljning av ledningens principer, strategier och organisation för informationssäkerheten kommer ledningen inte att veta om styrningen utgår från rätt förutsättningar, sker på rätt sätt och ger de tänkta effekterna. 5. Revisionens budskap om bättre styrning av IT är globalt Vart tredje år genomför INTOSAI 1 en internationell konferens för revisorer som granskar effektiviteten i den statliga förvaltningens ITstöd. I mars år 2007 genomfördes i Oman en sådan konferens med temat Ledningens styrning av IT. Företrädare för ett 30-tal länders revisionsmyndigheter medverkade i konferensen. De olika ländernas iakttagelser av problem med förvaltningarnas styrning av IT-stödet var påfallande lika. Utöver vad som anges ovan, som bygger iakttagelser från granskningar utförda av den statliga revisionen i Sverige, framkom följande slutsatser om en bättre styrning av IT och relaterad säkerhet. Bättre styrning ger bättre IT-baserad verksamhetsutveckling Styrning av IT är en integrerad del av organisationens samlade interna styrning och kontroll av sin verksamhet så att verksamheten (inkl. IT-stödet) uppfyller externa och interna krav på att vara författningsenlig, ekonomisk och effektiv etc. Samtidigt är IT-styrning även en delverksamhet som omfattar ledningens planering av inriktningen av IT-användningen och under- 1 En internationell organisation för ländernas statliga revisionsmyndigheter.

liggande infrastruktur, intern kontroll som består av aktiviteter och mått som används för att avgöra om verksamheten och dess ITanvändning uppfyller fastställda mål och krav, bevis inför externa intressenter att ledningen har verksamheten och IT-användningen under tillräcklig intern styrning och kontroll, användning av extern granskare som kontrollerar om verksamheten uppfyller givna krav. Ledningens styrning av IT bör knytas till eller utgå från verksamhetens mål och utvecklingsstrategi. Värdet av att genomföra ett ITprojekt ska kunna uttryckas i dess bidrag till att uppfylla verksamhetens mål. Ledningen bör särskilt kontrollera IT-projekt, t.ex. med hjälp av Gateway Review Process. Varje IT-projekt kontrolleras fortlöpande vid sex kritiska steg i syfte att få garantier för att projektet på ett säkert sätt kan gå vidare till nästa steg. Verksamhetsansvariga ska ta sitt ansvar för och utöva ITstyrningen. Ett sätt att visa engagemang är att ansvara för rapporter om status i IT-projekten till överordnade (myndighetsledning eller regering). Det finns fortfarande brister i kompetensen i att genomföra ITprojekten. Endast 30 % av IT-projekten är lyckade, 50 % halvlyckade och 20 % misslyckade. Fyra återkommande orsaker till att IT-/e-projekt inte lyckas är dels projektens komplexitet, dels dålig styrning av projektet (project management process), dels dålig kontroll av externa leverantörer av tjänster i projekten, dels låg medverkan av användare och andra intressenter. Ju större och mer komplicerade IT-system som utvecklas, desto större risk för att något allvarligt går fel. Projekten måste delas upp i hanterbara delprojekt. Myndigheterna litar för mycket på IT-konsulter och organisationer för outsourcing. Dessa resurser måste dock styras och kontrolleras på samma sätt som andra resurser. Vidare utvecklas IT-system fortfarande isolerat inom myndigheterna, vilket leder till stora svårigheter att få ITtjänsterna accepterade. Man betonar vikten av att olika intressenter är med i IT-projekten och värderar nyttan med resultatet från projektet. Bättre kontroll ger säkrare och mer trovärdiga IT-/e-tjänster Informationssäkerhet är en ledningsfråga. Informations-/ITsäkerhet kan inte särskiljas från IT-styrningen. De IT-tjänster och IT-system som utvecklas måste uppfylla krav på säkerhet. Det är viktigt för ledningen att kunna lyfta fram värdet av IT- /informationssäkerheten för myndigheten, dess rykte och verksamhet. Värdet skapas genom att skydda datas integritet, säkerställa kontinuitet av verksamheter samt att skydda värdefulla tillgångar. Dessa åtgärder syftar till att skydda medborgare, företag och myndigheter från att skadas till följd av att brister utnyttjade IT-tjänster.

Ledningen måste kunna svara på frågorna vad målet är för verksamheten, vilka är verksamhetens risker och hot, vilka är de verksamhetskritiska data, och hur länge myndigheten kan uppfylla mål och krav på verksamheten om dessa kritiska data inte uppdateras. Vidare måste ledningen veta hur svårt det är att återskapa data, om det överhuvudtaget är möjligt. Givet en sådan riskanalys kan myndigheterna bedöma behovet av säkerhetsnivåer. Ledningen kan inte göra antaganden om vilken status informationssäkerheten håller. Informationssäkerhetens status måste kontrolleras och bevis på status samlas in: är beslutade säkerhetsåtgärder införda, är de effektiva, kan detta bevisas. Någon, förmodligen på ledningsnivå, behöver ha ett tydligt mandat att driva säkerhetsfrågorna i organisationen. Informationssäkerhet är ett samspel mellan människor och teknik. Informationssäkerhet kan aldrig bli en teknisk fråga. Informationssäkerheten står och faller med personalens säkerhetsmedvetenhet. 6. Slutsatser viktiga områden för ledningen att uppmärksamma i sin styrning Ledningens styrning av IT för att myndighetens IT-/e-tjänster ska bli lämpliga, bra och säkra är en integrerad del av ledningens interna styrning och kontroll av sin verksamhet. Denna styrning och kontroll syftar till att verksamheten uppfyller externa och interna krav på att vara författningsenlig, ekonomisk, effektiv och säker. Ledningens styrning och kontroll omfattar åtminstone följande fem viktiga komponenter: 1) Att ledningen skapar tillräckliga förutsättningar för arbetet med att utveckla lämpliga, bra och säkra IT-/e-tjänster. Viktiga förutsättningar är ledningens engagemang och förtrogenhet, fördelning av ansvar, lämpliga organisatoriska former/processer, stöd och resurser för att styra utvecklingen av IT-stödet eller arbetet med IT- /informationssäkerheten. Detta engagemang och ledningens syn på betydelsen av intern styrning och kontroll bör delges medarbetarna. Ledningen bör svara för att de mål och krav som ska gälla för styrningen av IT, inklusive relaterade säkerhetsfrågor, är dokumenterade, förmedlade och används av alla berörda inom organisationen. 2) Att ledningen får tillgång till ett bra beslutsunderlag, t.ex. förslag till IT-baserad verksamhetsutveckling eller analyser av hot och risker som rör verksamhetens IT-stöd, för att kunna prioritera beslut om utveckling av bra IT-/e-tjänster eller om åtgärder för att uppfylla krav på att få säkra IT-/e-tjänster. 3) Att ledningen har en faktabaserad styrning, uppföljning och kontroll av att beslutade IT-projekt eller IT-säkerhetsåtgärder genomförs på avsett sätt och ger det tänkta resultatet och effekterna.

4) Att ledningen säkerställer att organisationen på alla nivåer i har tillgång till lämpliga kunskaper, kompetenser, erfarenheter och metoder för styrning av IT och relaterade säkerhetsfrågor. 5) Att ledningen kontinuerligt förbättrar sin interna styrning och kontroll av IT-stödet, dess lämplighet, användbarhet och säkerhet. Referenser IntoIT nr 18 år 2003: Better managed investment in IT-based business development. IntoIT nr 26 år 2008: Effective IT Governance: How to Get Good, Secure IT-Services INTOSAI Standing Committee on IT Audit. Performance IT Audit Seminar concerning IT Governance, held in Muscat, Oman, 3 4 March 2007. Föredrags-PM från deltagande länders revisionsmyndigheter. Riksrevisionen (RiR 2004:19): Vem styr den elektroniska förvaltningen? Riksrevisionen (RiR 2007:10): Regeringens styrning av informationssäkerhetsarbetet i den statliga förvaltningen Riksrevisionsverket (RRV 2002:30) IT i verksamhetsutvecklingen Bättre styrning av myndigheternas investeringar i IT-baserad verksamhetsutveckling. Riksrevisionsverket (RRV 2003:11): Ett informationssamhälle för alla? Användbarhet och tillgänglighet hos statliga webbplatser.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss