Övergripande granskning av ITverksamheten. Halmstads kommun. Hösten 2011

Övergripande granskning av ITverksamheten i Halmstads kommun Hösten 2011

INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 5 Representanter... 6 4. Revisionsfrågor - sammanfattning... 7 Övergripande sammanställning av resultat från granskning... 9 5. Detaljerade iakttagelser... 10 Strategi... 10 Leverans... 14 Teknologi...19 Personal... 22 System och applikationer... 24 6. Sammanställning och prioritering... 26 Sammanställning av iakttagelser... 26 Prioriteringsskala... 27 (2)

1. Inledning PwC har på uppdrag av de förtroendevalda revisorerna för Halmstads kommun genomfört en övergripande granskning av kommunens IT-verksamhet. Granskningen har omfattat områden som IT-strategi, IT-leverans, Teknologi, Personal, System och Applikationer för att stödja den övergripande revisionsfrågan. Granskningen har baserats på ett antal intervjuer med personer inom olika delar av Halmstads kommun. Intervjuerna har utförts av följande personer inom PwC: Andreas Crusell Josefin Nimstedt Granskningen har resulterat i denna skriftliga rapport där ett antal områden där det finns utrymme till förbättringar, alternativt fördjupad analys, presenteras. 2. Bakgrund Kommuner blir alltmer beroende av sina informationssystem och IT utgör en viktig komponent för fungerande och effektiva verksamhetsprocesser. En ändamålsenlig organisation och styrning av IT-resurser med gemensamma processer, tydliga roller och etablerade beslutsvägar har blivit en framgångsfaktor i många verksamheter. IT kommer samtidigt i ökad utsträckning att bli en strategisk resurs och möjliggörare för verksamhetsutveckling. Detta ställer krav på en väl fungerande IT-verksamhet anpassad efter affärsverksamhetens mål samt att det finns en god säkerhet. Undersökningar inom kommuner och organisationer visar att gjorda IT-investeringar inte utnyttjas optimalt och att IT och verksamheten ofta inte samarbetar effektivt för att på bästa sätt uppnå målen. Vid införande av etjänster och eförvaltning är det av största vikt att IT-styrningen fungerar och att det finns styrande dokument och policies som anger inriktning och arbetssätt. Det är vidare viktigt att gränssnittet och rollerna mellan IT och verksamheten är tydlig och att kommunikationen fungerar effektivt. I sammanhanget kan konstateras att kommuner ofta har komplexa ITmiljöer och där ett helhetsperspektiv av IT-frågor saknas. Sedan är svag styrning av IT-processerna något som ofta resulterar i att leveransen till verksamheten blir lidande. Under 2008 utförde PwC interna och externa tekniska säkerhetstester samt granskning av generella IT-kontroller för att se vilka sårbarheter som fanns inom Halmstad kommun. I denna granskning identifierades flertalet brister som kommunen omgående behövde hantera som annars kunde få stor påverkan på verksamheten. Mot bakgrund av ovan har de förtroendevalda revisorerna för Halmstads kommun identifierat ett behov av att se över dels hur IT fungerar och (3)

vilka förbättringsmöjligheter det finns inom området IT-styrning inom kommunen och dels följa upp den IT-säkerhetsgranskning som gjordes 2008. Övergripande revisionsfråga är: - Är IT-styrningen effektiv och ändamålsenlig samt finns en för kommunen tillräcklig IT-säkerhet på plats idag? Revisionsfrågor som kommer belysas är: - Hur säkerställs att IT inom kommunen styrs på ett ändamålsenligt sätt och att nivån på IT-säkerheten inom förvaltningarna ligger på en lämplig nivå? (Finns exempelvis en IT-strategi framtagen och kommunicerad som stödjer verksamheten och som anger hur IT-verksamheten inom kommunen skall hanteras och styras?) - Säkerställer den aktuella IT-styrningen att de risker som föreligger med ITverksamheten belyses på en tillräcklig nivå? - Är IT-verksamheten organiserad, strukturerad och kontrollerad (inkl mätning och uppföljning) för att ge en optimal IT-leverans? - Finns tillräckliga insikter inom organisationen vad gäller hur IT påverkar verksamheten och hur beroende verksamheten är av en väl fungerande IT-miljö? Hur är IT-mognaden inom kommunens olika verksamheter? - Ligger nivån på IT-säkerheten inom förvaltningarna och de kommunala bolagen på en lämplig nivå och har de brister som identifierades 2008 hanterats? (4)

3. Metod Under granskningen har ett verktyg (ITM) använts som bygger på en databas som innehåller jämförbar (s.k. good practice och benchmark) och relevant information för generell IT-verksamhet inom områdena strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Varje område är uppdelat på ett antal delområden (totalt 22 stycken) som i sin tur innehåller ett antal frågor. Område Strategi (5.1) Leverans (5.2) Teknologi (5.3) Personal (5.4) System och applikationer (5.5) Utdrag ur innehåll Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? Informationsinsamlingen har utförts genom intervjuer med personal inom kommunen samt genomläsning av relevant dokumentation som kommunen har tillhandahållit. Den granskade dokumentationen har främst varit relaterad till styrande dokument inom IT och informationssäkerhet. Baserat på denna information och genom intervjuer utförda under fyra dagar har respektive delområde bedömts utifrån en femgradig skala. I bedömningen har förutsättningar och omständigheter, specifika för kommunen, vägts in i vår sammanfattande bedömning och slutsats. Sammantaget har 22 personer intervjuats. Urvalet har varit strategiska IT-personer från kommunledningen, ansvarig och operativ personal för IT-frågor inom Utvecklingsavdelningen, IT-Service samt ett antal representanter från olika förvaltningar inom kommunen och kommunalt ägda bolag. (5)

Representanter Nedanstående representanter inom kommunen har deltagit vid intervjuer. Namn Förvaltning/Enhet Funktion/Roll Carl Westman Stadskontoret Utvecklingsstrateg IT Fredrik Geijer Stadskontoret Kommunchef Sofia Bramstång Stadskontoret IT-strateg Stefan Almér Stadskontoret Utvecklingschef Petter Knutsson Stadskontoret Web-strateg Per Karlsson Stadskontoret Redovisningschef Roger Weman Servicekontoret Förvaltningschef Lars Nilsander IT-service Enhetschef, IT Annika Vannerberg UAF Förvaltningschef Catarina Markow UAF Kommunikatör Anders Bengtsson Hemvårdsförvaltningen Systemförvaltare Thomas Wollentz Hemvårdsförvaltningen Utvecklingsledare Hans-Jörgen Wahlhed Socialförvaltningen Förvaltningschef Erik Semb Socialförvaltningen Verksamhetsutvecklare Hans Olsson Socialförvaltningen Systemförvaltare Jan E Nilsson Barn- & Ungdomsförvaltningen IT-utvecklare Ann-Mari Mäkikangas Barn- & Ungdomsförvaltningen Funktionschef Charlotte Fredin Barn- & Ungdomsförvaltningen Systemadministratör Terje Johansson Halmstads Fastighets AB VD Erik Johansson Halmstads Fastighets AB Administrativ chef Björn Nilsson Halmstad Hamn AB VD Mats Jönsson Halmstad Hamn AB IT-samordnare (6)

4. Revisionsfrågor - sammanfattning Halmstads kommun har under de sista åren gjort en resa inom IT området och som till stor del startades av utredningar och revisioner 2008. Utifrån de förbättringsområden som identifierades har kommunen myntat begreppet God IT vilket skall bygga på IT som inte krånglar, är tillgänglig och tillfredsställer behov. Vår förståelse är att kommunen har gått till en mer strukturerad IT organisation och leverans t.ex. i genomförandet av tjänstekatalog, IT-service som leveransenhet, ITråd, skapande av riktlinjer för IT och IT-säkerhet osv. Det är alltså en hel del aktiviteter som ägt rum och stora förbättringar har gjorts inom IT de senaste åren. Vi tycker att kommunen generellt har en god styrning av IT men vi har noterat några förbättringsområden som ett led i att förbättra och effektivisera kommunens ITverksamhet ytterligare mot God IT. 1. Hur säkerställs att IT inom kommunen styrs på ett ändamålsenligt sätt? (Finns exempelvis en IT-strategi framtagen och kommunicerad som stödjer verksamheten och som anger hur IT-verksamheten inom kommunen skall hanteras och styras?) Under 2011 antogs Riktlinjer för IT inom Halmstads Kommun som sammanfattar kommunens övergripande vilja med IT på tre års sikt. Dessa riktlinjer kommer att under 2011 kompletteras med kommunens underliggande plan för 2012-2014. Baserat på dessa dokument kommer kommunen att på ett tydligare sätt visa viljeinriktning med IT. Styrning bygger delvis på god kommunikation och vi har noterat i vår granskning att det saknas ett kommungemensamt Intranät för att enhetligt och effektivt kommunicera ut t.ex. hur befintlig IT-organisation är uppbyggd. Det mest av kommunikation avseende vad som pågår inom IT inom kommunen kanaliseras genom IT-strategerna där vi noterat att kompetensnivån bör ses över. 2. Säkerställer den aktuella IT-styrningen att de risker som föreligger med IT-verksamheten belyses på en tillräcklig nivå? Styrning av IT baserat på kommunens behov bedöms inte fungera optimalt. Trots flera kanaler för att lyfta behov inom kommunen behöver verksamheten bli bättre beställare samt att IT-service behöver förstå och kommunicera med verksamheterna på ett tydligare sätt. Riktlinjer för IT-säkerhet har upprättats och det finns underliggande dokument baserat på BITS ramverket i IT-handboken dock bör dessa uppdateras för att avspegla dagens förhållanden inom IT (senaste uppdateringar 2007 och 2008). Vi tycker också att ett tydligare stöd till förvaltningarna behövs avseende utbildning inom IT-säkerhetsområdet. Vi har även noterat att flera enheter inom skolan redan idag saknar god bredbandskapacitet för att genomföra sin verksamhet, vilket kommer att bli än mer påtagligt vid utökande av PC-arbetsplatser i framtiden. (7)

3. Är IT-verksamheten organiserad, strukturerad och kontrollerad (inkl mätning och uppföljning) för att ge en optimal IT-leverans? IT-verksamheten inom Halmstads kommun har en tydlig organisation. Verksamheten förstår ändå inte hur IT-verksamheten är organiserad, vem som är motparten och hur den kommuninterna dialogen skall gå till t.ex. vid ett beställningsförfarande av ett nytt system. Orsakerna till detta förhållande kan vara flera men avsaknad av ett Intranät som en kanal för kommunintern kommunikation kan vara en. 4. Finns tillräckliga insikter inom organisationen vad gäller hur IT påverkar verksamheten och hur beroende verksamheten är av en väl fungerande IT-miljö? Hur är IT-mognaden inom kommunens olika verksamheter? Det finns ett intresse att utveckla och effektivisera verksamheten och leveransen till kommuninvånarna med hjälp av IT (etjänster) dock fokus på detta område utvecklas. Vi har även noterat att den generella IT-mognaden och kompetensen bland personalen i kommunen kan bli bättre för att mer effektivt kunna utnyttja IT samt på ett bättre sätt iträda den beställarroll som önskas ifrån Utvecklingsavdelningen. Vår förståelse är ändå att IT-mognad och kompetens under senare tid ökat. 5. Ligger nivån på IT-säkerheten inom förvaltningarna och de kommunala bolagen på en lämplig nivå och har de brister som identifierades 2008 hanterats? Enligt de riktlinjer kring IT-säkerhet som tagits fram har arbetet kring IT-säkerhet decentraliserats till respektive förvaltning. Denna modell skapar dock ett för stort utrymme för tolkning av begreppet IT-säkerhet varför vi bedömer att en ökad central styrning av IT-säkerheten är viktig. I vår granskning ingår Halmstad Fastighets AB samt Halmstad Hamn AB och generellt ser IT-säkerheten bra ut. Dock lyfter vi i vår rapport behovet av att upprätta avbrottsplaner för de båda verksamheterna. Rapporten från PwC 2008 som baserades på granskning av generella IT-kontroller samt interna- och externa penetrationstester för verksamhetskritiska system har följts upp. Uppföljningen genomförd under hösten 2011 visar på att de största bristerna har lösts men ännu kvarstår en del punkter att åtgärda. Resurser bör tillsättas för att jobba vidare med IT-säkerhetsfrågorna för att få ett helhetsgrepp inom kommunen och som t.ex. genom återkommande granskningar tillser att etablerade riktlinjer efterlevs. (8)

Övergripande sammanställning av resultat från granskning Bilden nedan visar översiktligt vilken mognadsgrad som varje delområde har baserat på vår granskningsmodell. En stapel som är lång från mittpunkten sett har alltså en hög mognadsgrad. I avsnitt 5 återfinns även en bild för varje underområde med tillhörande iakttagelser och rekommendationer. Enligt vår uppfattning kan införandet av våra rekommendationer i avsnitt 5 leda till ökad effektivitet avseende IT som verksamhetsstöd samt ge en tydligare struktur och transparens mellan IT-Service och övriga delar av Halmstads kommun. För att säkerställa att nödvändiga förändringar får önskvärd effekt och att resultatet medför de förbättringar de syftar till krävs en omsorgsfull planering och tydlig styrning. Dels måste olika aktiviteter införas i rätt ordning och dels är en nyanserad samt tydlig kommunikationsplan en förutsättning. När dessa åtgärder vidtagits menar vi att Halmstads kommun har goda förutsättningar att uppnå ett effektivt utnyttjande av IT och att IT kan utgöra den strategiska resurs som verksamheten behöver för att möta befintliga och framtida utmaningar. (9)

5. Detaljerade iakttagelser Bilderna nedan visar översiktligt vilken mognadsgrad som varje delområde har. En stapel som är lång från mittpunkten sett har alltså en hög mognadsgrad. Nedan återfinns det en bild för varje underområde med tillhörande iakttagelser och rekommendationer. Strategi Inom området Strategi har följande iakttagelser gjorts. (10)

Ref. 5.1.1 Förbättring av IT-rådet (IT Strategy and policy, Roles and responsibilities) Halmstads kommun har ett IT-råd där IT-strateger från verksamheten, IT-service och Stadskontorets utvecklingsavdelning medverkar. I dessa möten har t.ex. tjänstekatalogen diskuterats samt att behov kring IT inom kommunen lyfts. Inblandade parter anser dock att dessa möten tenderar till att vara ineffektiva då mötena har ett för stort tekniskt och operationellt fokus och inte har strategisk inriktning. De personer som är med i IT-rådet bör ha denna förståelse och drivkraft för att driva IT inom kommunen framåt. Vi rekommenderar att IT-rådet som forum ses över med avseende på att IT-rådet skall vara framåtriktat och tjänsteorienterat där framtida investeringar diskuteras. Det bör även förtydligas vad syftet med ITrådet är så att rätt personer med rätt kompetens, intresse och drivkraft medverkar för att mötena ska bli produktiva. (11)

Ref. 5.1.2 Transparens av IT-kostnader samt fördelning (Planning, resourcing and budgeting) Det är respektive förvaltning som begär medel för sin IT-drift. Den absolut största delen av dessa medel internfaktureras från IT service ut mot respektive förvaltning via hyr-it (tjänstekatalogen) konceptet. Utöver detta finns även IT-relaterade kostnader som hanteras av förvaltningarna själva. Kommungemensamma IT-kostnader (i folkmun kallad röda blobben ) fördelas ut på respektive förvaltning baserat på en fördelningsmodell som ägs av Utvecklingsavdelningen. Modellen bygger på att förvaltningarna och kommunen tydligare kan följa kostnadsbilden för IT-service och även få en överblick i vad som kan tjänstifieras. Varje förvaltning får även ett bidrag från kommunen motsvarande den utfakturerade kostnaden varför den röda blobben blir kostnadsneutral. Denna fördelningsmodell upplevs av förvaltningarna som otydlig och föråldrad. Det finns inget enhetligt sätt att mäta IT-kostnader i kommunen. En av anledningarna till att IT-kostnader inom kommunen är svåra att överblicka kan också vara att kostnader som borde vara hanterade som IT-kostnader av olika anledningar inte är det. Detta kan vara allt ifrån fristående inköp av hårdvara eller nättjänster till kostnaderna för en ITtekniker i en skola. Vi rekommenderar att kommunen förtydligar rutiner kring hur ITkostnader skall bokföras ute bland förvaltningarna för att kunna skapa en tydlig bild över vad IT-kostar inom kommunen. Vidare bör nuvarande modell för internfakturering av kommungemensamma IT-kostnader ses över, uppdateras samt tydligt kommuniceras. Ref. 5.1.3 Samordning avseende eförvaltning (Business Direction, Direction) Halmstads kommun har ambition att tydligare jobba med eförvaltning för att effektivisera interna processer och för att ge medborgaren bättre service. Detta finns uttryckt i det utkast till IT-plan som har tagits fram och det är förvaltningarnas ansvar att driva frågan kring eförvaltning för att förverkliga IT-planen. Vi rekommenderar att förvaltningarna utvecklar eförvaltning inom sina respektive verksamhetsområden och samordnar med Utvecklingsavdelningen för att utifrån befintliga resurser inom (12)

kommunen göra denna utveckling så effektiv som möjligt. Utvecklingsavdelningen kan fungera som support och stöd i frågeställningar som förvaltningarna kan ha kring hur IT kan användas inom respektive förvaltning samt bidra med underliggande infrastruktur. Ref. 5.1.4 Avsaknad av uppdaterad IT-plan (IT planning, Resourcing and Budgeting, Direction) Det finns övergripande Riktlinjer för IT framtagna och fastställda vilket gjordes under våren 2011 Den underliggande planen för genomförandet av dessa riktlinjer är under framtagande och blir en uppdatering av den tidigare IT-planen som togs fram 2009. Utan upprättad IT-plan finns risk för att kommunens vilja genom Riktlinjer för IT ej uppnås och i förlängningen kommunens verksamhetsmål. : Vi rekommenderar att kommunen fortsätter arbetet med IT-planen där kommunen förankrar och kommunicerar de mål och vad som skall göras inom IT de närmaste åren baserat på de nya Riktlinjer för IT. IT-planen bör så långt möjligt förankras i förvaltningarna innan den fastställs. Kommunen bör även tydliggöra ägarskapet för de olika styrande dokumenten samt när och hur dessa skall uppdateras. (13)

Leverans Inom området Leverans har följande iakttagelser gjorts. (14)

Ref 5.2.1 Otydligt ansvar och roller inom IT-organisationen (Roles and Responsibilities, Organization) Verksamheten upplever att ansvar och roller inom IT-verksamheten är otydliga trots att det finns noterat i IT-handboken samt Riktlinjer för ITsäkerhet vilka roller och ansvar som gäller. Det finns vidare indikationer på att de som är tillsatta IT-strateger inte i alla fall vet vad rollen innebär och vilket ansvar de har för att utveckla kommunens användande av IT. Då roller och ansvar inte är tillräckligt tydliga ökar risken för att systemförvaltning och strategiska beslut inte tas och att det uppstår förväntningsgap mellan IT och verksamheten. Vi rekommenderar att Halmstads kommun tydliggör, kommunicerar roller och ansvarsområden inom IT för att säkerställa och effektivisera IT-leveransen. Ref 5.2.2 Behovsprocess och förbättring av beställarkompetens inom verksamheterna (Service delivery, Roles and responsibilities) Under intervjuerna har det framkommit att IT-service har flera processer/aktiviteter för att fånga upp verksamhetens behov avseende IT t.ex. IT-rådet samt kundansvariga från IT-service. Vi har noterat att trots flera kanaler för behov fungerar ej processen optimalt då förvaltningarnas behov ändå inte når IT-service som förvaltare av tjänstekatalogen. Specifikt har skolan upplevt att de inte fått tillräckligt med stöd för sina behov. Tjänstekatalogens införande i januari 2010 har även ställt högre krav avseende beställarkompetens vilket vi kan vara en bidragande orsak till att alla behov ej når IT-service. Vidare upplevs ibland IT-service som problematiserande istället för att se möjligheter. Brister i behovsprocessen mellan verksamheten och IT samt låg beställarkompetens kan leda till att IT inte svarar upp till verksamhetens behov samt att verksamheten fattar IT-relaterade beslut som inte stöds av befintlig arkitektur och tekniska standarder. Vi rekommenderar att kommunen ser över de kanaler som idag finns för att lyfta behov och strukturen avseende behovsprocessen. Vi rekommenderar även Halmstads Kommun att jobba vidare med personalens IT-kompetens och intresse för IT för att verksamheterna ska kunna bli tydligare i sin kravställning. (15)

Ref 5.2.3 Brister inom Helpdesk (Service delivery) Helpdesk är organiserad under IT-service och upplevs generellt ge en god service till verksamheten vilket även uppmärksammats inom kommunen då de haft goda svarstider. Vid vår granskning har vi dock noterat att: - helpdesken ibland upplevs som långsam och att det saknas återkoppling för ärenden som drar ut på tiden - på-plats-hjälp som utförs av Helpdesk ibland utförs av personal med fel kompetens vilket leder till att problemet löses efter lång tid - verksamheten uppfattar Helpdesken i behörighetsärenden som en SPOC (single point of contact) när den idag inte är det Det finns risk att verksamheten uppfattar Helpdesk som ineffektiv och saknar kundperspektiv vilket kan leda till missnöje bland användarna. Vi rekommenderar att Helpdesk ser över sin problem management process, samt kommunicerar ut och förtydligar Helpdesk ansvar mot verksamheten. En god återkoppling kan t.ex. göra att verksamheten får en högre förståelse av IT-service jobb. (16)

Ref 5.2.4 Avsaknad av formaliserad behörighetsprocess (Security) Vid vår granskning har vi noterat att ansvaret för upplägg av en ny användare i verksamhetssystemen utförs av specifika handläggare inom respektive förvaltning. Vår förståelse i samtal med respondenter är att vissa upplägg av användare saknar formellt godkännande för ändringen i behörighet. Rutinen för upplägg av användarkonton till nätverk bedöms fungera väl. Utan en förankrad behörighetsprocess ökar risken för otillbörlig åtkomst av kommunens system. Vi rekommenderar att alla upplägg, ändring och borttag som görs av användarkonton i verksamhetssystemen görs baserat på godkända underlag. Ref 5.2.5 Avsaknad av projektmodell (Project Management, Quality Management) Under intervjuerna har det framkommit att kommunen saknar en enhetlig projektmodell med en tydlig arbetsgång för genomförandet av IT-relaterade projekt. Detta för att kunna tydliggöra syfte, mål, delprojekt, kostnader osv. för varje projekt. Utan en kommunicerad och förankrad projektmodell som tar hänsyn till viktiga inblandade intressenter är risken stor att lösningar t.ex. inte stödjer en enhetlig ITarkitektur i verksamheten med ökade kostnader och driftsproblem till följd, samt att projekt initieras på bristfälliga grunder. Halmstads kommun bör implementera en allmänt vedertagen projektmodell för förbättrad projekthantering och kontroll. Detta för att projekt generellt skall bedrivas på ett så effektivt sätt som möjligt men även för att formalisera och kommunicera vilken roll IT har i de fall verksamheten bedriver projekt där IT berörs och vice versa. (17)

Ref 5.2.6 Otydlig styrning av IT-säkerhet inom kommunen (Security) Kommunen har fastställt Riktlinjer för IT-säkerhet. Enligt dessa är respektive förvaltnings ansvar att utbilda personalen inom IT-säkerhet vilket kan vara en utmaning för enskild förvaltning. Från Riktlinjerna för IT-säkerhet hänvisas även till IT-handboken som inte har uppdaterats inom många områden sedan 2007 och 2008. Utan detaljerade föreskrifter kring IT-säkerhet finns risk att informationstillgångar inte har tillräckligt skydd vilket i sin tur kan få kostsamma konsekvenser. Halmstads kommun behöver avsätta mer resurser inom ITsäkerhetsarbetet inom kommunen. Detta kan t.ex. göras genom central utbildning inom IT-säkerhetsområdet och förtydligande av den praktiska tillämpningen av riktlinjerna. Uppdatering av ITsäkerhetsföreskrifterna i IT-handboken behöver även detta göras. (18)

Teknologi Inom området Teknologi har följande iakttagelser gjorts. (19)

Ref 5.3.1 Avsaknad av bredbandskapacitet (Communications Infrastructure) I samtal med kommunen har vi förstått att flera verksamheter idag använder ADSL och radiolänkar för datakommunikation vilket i många fall inte är tillräckligt snabbt och måste förbättras. Exempelvis kräver den nya skollagen en mer omfattande löpande dokumentation av den pedagogiska verksamheten. Dokumentationen sker i centrala system dit man behöver avbrottsfri uppkoppling med hög kapacitet. Andra påverkansfaktorer är det dagliga arbetet i skolornas lärplattform där pedagoger och elever behöver ständig åtkomst, den ökande datortätheten samt införandet av andra digitala studiehjälpmedel i skolan. Vi rekommenderar att kommunen omgående ser över vilket behov det finns av att utöka bandbredden till verksamheterna inom kommunen för att kunna använda IT på ett fullgott sätt samt även utifrån kraven enligt skollagen. Ref 5.3.2 Avsaknad av övergripande avbrottsplan (Security, Quality Management) Vi har noterat att det saknas en övergripande avbrottsplan för att hantera ett eventuellt stillestånd av Halmstad Kommuns system. samt att den risk- och sårbarhetsanalys inom IT som utfördes 2008 ej har uppdaterats. Detta gäller dels Halmstads Kommun men även de kommunala bolagen Halmstad Fastighets AB samt Halmstad Hamn AB. Brister i kontinuitetsplanering medför att verksamheten kan bli utan kritiska system längre än vad som skulle vara fallet om en implementerad, kommunicerad och testad kontinuitetsplan varit på plats. Vi rekommenderar att Halmstads kommun dokumenterar en avbrottsplan avseende kommungemensamma system som bör uppdateras löpande av behörig personal samt även testas för att säkerställa funktionalitet. Vi rekommenderar även att en uppdatering av riskanalysen görs inklusive uppföljning av de då planerade åtgärderna. För ytterligare kommentarer kring IT-säkerhet se uppföljning från 2008 års IT-säkerhetsgenomgång enligt bilaga 1. (20)

Ref 5.3.3 Transparens avseende datakommunikationskostnad (Halmstad Stadsnät) (Communications Infrastructure, IT planning, resourcing and budgeting) Det är Halmstads Stadsnät som levererar datakommunikation till kommunens förvaltningar och bolag. Under vår granskning har vi noterat att förvaltningarna ifrågasätter grunderna för det som faktureras men dessa har ej kunnat få en förklaring direkt från bolaget vilket har lett till ett utbrett missnöje inom kommunen. Vi rekommenderar att Halmstads Stadsnät ökar transparensen avseende nuvarande fakturering av datakommunikation till kommunen. (21)

Personal Inom området Personal har följande iakttagelser gjorts. (22)

Ref 5.4.1 Varierande IT-mognad bland personal i verksamheten (User People) Vi har noterat i samtal med respondenter att den generella IT-mognaden inom verksamheterna varierar. Som vi tidigare konstaterat är det viktigt att personer som fungerar som beställare mot IT har god kompetens kring IT. En undermålig kompetens inom IT området kan bidra till att utnyttjande av IT i form av systemförvaltning inte sker på ett effektivt sätt samt att verksamhetspersonal har svårt att ställa krav och påvisa behov inom respektive verksamhet. Kommunen bör se över hur de kan förbättra den generella IT-mognaden inom kommunen. Detta för att på ett bättre sätt kunna dra nytta av de investeringar Halmstads kommun gjort de senaste åren men framförallt för att kommunens personal skall erhålla en ökad förståelse för IT. (23)

System och applikationer Inom området System och Applikationer har följande iakttagelser gjorts. (24)

Ref 5.5.1 Avsaknad av kommungemensamt Intranät (Applications, Unsatisfied demands) Vid vår granskning har vi noterat att kommunen ej har ett gemensamt Intranät utan att det finns två separata lösningar för att internt förmedla information. Det är ovanligt att ett kommungemensamt Intranät ej finns på plats. Det finns ett projekt startat för att skapa ett kommungemensamt intranät. Avsaknad av ett Intranät som alla inom kommunen har tillgång till försvårar avsevärt arbetet att på ett enhetligt och effektivt sätt kommunicera information inom kommunen. Vi rekommenderar att kommunen påskyndar arbetet med att skapa ett Intranät för att möjliggöra en informationskanal för alla kommunens förvaltningar. Ref 5.5.2 Bristande funktionalitetsbehov Agresso (Applications, Unsatisfied demands) Vi har noterat att flera förvaltningar ej upplever funktionaliteten i Agressso HR-modul som tillräcklig och att systemet ej byggdes för att hantera löner. Vi har även noterat att HFAB anser att Agresso inte uppfyller deras behov avseende kontering av fakturor. Vi ser en risk att om Agresso inte används på ett optimalt sätt skapar detta merarbete ute i verksamheten vilket medför extra kostnader för kommunen. Vi rekommenderar att kommunen analyserar de behov som finns och bedömer om åtgärder bör göras. (25)

6. Sammanställning och prioritering Sammanställning av iakttagelser Granskningen har även mynnat ut i ett antal detaljerade observationer med tillhörande rekommendationer samt prioritetsförslag (hög, medel och låg). Tabell 1 nedan visar dessa observationer i sammanställd form sorterade i prioritetsordning. Observationer inom en prioritetsklass är dock inte inbördes rangordnade samt att observationer avseende uppföljning av 2008 års granskning redovisas separat. Som tidigare nämnts i avsnitt 4, tar vissa åtgärder längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. Ref Observation Område 5.1.1 Förbättring av IT-rådet Strategi 5.1.2 Transparens av IT-kostnader samt fördelning Strategi 5.2.1 Otydligt ansvar och roller inom ITorganisationen Leverans 5.2.2 Behovsprocess och förbättring av Leverans beställarkompetens inom verksamheterna 5.5.1 Avsaknad av kommungemensamt Intranät System & Applikationer 5.3.1 Avsaknad av bredbandskapacitet Teknologi 5.1.3 Samordning avseende eförvaltning Strategi 5.1.4 Avsaknad av uppdaterad IT-plan Strategi 5.2.3 Brister inom Helpdesk Leverans 5.2.4 Avsaknad av formaliserad Leverans behörighetsprocess 5.2.5 Avsaknad av projektmodell Leverans 5.2.6 Otydlig styrning av IT-säkerhet inom Leverans kommunen 5.3.2 Avsaknad av övergripande avbrottsplan Teknologi 5.3.3 Transparens avseende Teknologi datakommunikationskostnad 5.4.1 Varierande IT-mognad bland personal i Personal verksamheten 5.5.2 Bristande funktionalitetsbehov - Agresso System & Applikationer (26)