www.pwc.com/se Mjölby kommun Översyn av IT-verksamheten April 2011
Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer och rekommendationer 2
1. Bakgrund och syfte Inledning Under mars 2011 har på uppdrag av revisionen i Mjölby kommun genomfört en översiktlig granskning av kommunens ITverksamhet. Granskningen omfattar IT-avdelningen såväl som IT-verksamheten inom ett urval av förvaltningar. Resultatet av granskningen presenteras i denna rapport. Syfte Uppdraget innebar att översiktligt granska IT-verksamheten för att förstå huruvida denna uppfyller det behov av IT-stöd som finns i kommunen. Granskningen fokuserar på; styrning och strategifrågor, teknologi och funktionalitet, projekt, personalaspekter såsom kompetens och bredd, samt ekonomi och uppföljning. Revisionsfrågor Rapporten avser att ge svar på följande: 1. Är användningen av resurser organiserad, strukturerad och kontrollerad för att ge en optimal IT-leverans och ett optimalt verksamhetsstöd? 2. Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? 3. Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? 4. Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? 5. Hur hanteras personal och relation mellan IT och övrig verksamhet (kompetens, attityder, reaktionsförmåga, processer och effektivitet)? 6. Är applikationer och verksamhetssystem ändamålsenliga och kostnadseffektiva, ger systemen tillräckliga beslutsunderlag och vilka ytterligare behov finns? 3
2. Metod Under granskningen har verktyget ITM (IT Management analysis) använts. Verktyget bygger på en databas som innehåller jämförbar (s.k. good practice och benchmarking) och relevant information för generell IT-verksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). IT-strategi IT-leverans Teknologi Personal System och applikationer Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? Baserat på metoden ovan har respektive delområde bedömts utifrån en femgradig skala. Resultatet sammanfattas i ett cirkeldiagram, där färgerna rött, gult och grönt påvisar utfall i förhållande till ett önskvärt läge. I bedömningen och vår slutsats har förutsättningar och omständigheter, specifika för Mjölby kommun, vägts in. 4
3. Utförande Granskningen har utförts genom intervjuer med nyckelpersoner inom Mjölby kommun, samt inläsning och genomgång av dokumentation, utredningar, och annat relevant material. Sammanlagt har sex personer intervjuats (se tabell nedan). Urvalet har varit strategiska IT-personer från kommunledningen, ansvarig och operativ personal för IT-frågor samt verksamhetsrepresentanter. Namn Helene Wall Jesper Laurin Johan Blomqvist Titel Systemförvaltare, Socialförvaltningen IT-chef IT-tekniker Kerstin Forsman Peter Karlsson Suzanne Norberg Tommy Lingefors Systemförvaltare, Skolförvaltningen Kommunchef Systemförvaltare, Skolförvaltningen Programchef administration omsorg- och socialförvaltningen 5
4. Sammanfattning Vår sammanfattande bedömning av IT-verksamheten inom Mjölby kommun är att den inte är fullt effektivt hanterad i dagsläget. Avsaknad av en tydlig IT-strategi och samverkansformer mellan verksamhet och IT för att diskutera och besluta om IT bedöms vara de främsta orsaker till den rådande situationen. Avsaknad av strategisk inriktning, systemägarskap och en fungerande samordnad beslutsprocess kan innebära att framtida utveckling av systemen inte sker i den takt som verksamheten efterfrågar. Generellt sett har vi noterat att IT-systemen är relativt stabila och kundundersökningar visar att användarna i stort sett är nöjda med sin IT-leverans. Vår övergripande rekommendation är att Mjölby kommun prioriterar arbetet med en IT-strategi och styrmodell för IT och skyndsamt tar fram en handlingsplan där samtliga förbättringsaktiviteter inom IT sammanställs och prioriteras. Detta för att kunna bedriva en god ITverksamhet där IT-stöd och kostnad är i linje med uppsatta förväntningar. Ytterligare rekommendationer finns dokumenterade under respektive delområde i detta avsnitt. NOT: Området Quality Management och People Management har inte varit del av granskningen eftersom de inte är kopplade till revisionsfrågorna, därför finns ingen markerad färg i diagrammet till höger. 6
5.1 IT-Strategi - Översikt 7
5.1 IT-Strategi - Observationer Vi har noterat ett avsaknat för IT-frågor från politikerna och bland alla prioriteringar som kommunchefen måste göra finns det inte så stort utrymme för IT-frågor. Ansvaret för IT är mycket decentraliserat och ligger hos ett flertal autonoma parter utan klara gemensamma riktlinjer. Det finns inget nätverk mellan verksamhet och IT där man strukturerat diskuterar strategiska frågor kring IT. T.ex. diskuteras inte frågor kring vilka applikationer som ska användas i de olika verksamheterna och om det kan finnas synergieffekter genom att samarbeta. De styrande dokument avseende IT som finns för Mjölby kommun är inte uppdaterade och saknar en tydlig koppling till verksamhetens strategier. Kommunen har ett på flera år. Det finns inte heller några rutiner för att följa upp efterlevnad av styrande dokument för IT. T.ex. finns det flertal riktlinjer på som är relaterade till områden som IT-säkerhet och upphandling, men många av dessa har inte uppdaterats viss uppföljning av incidenthantering hos IT men den hantering av incidenter som görs i verksamheten följs inte upp. Vi har fått ett flertal sammanställningar kring IT-kostnader men har trots detta inte kunnat få en total bild av vad IT kostar för Mjölby kommun. T.ex. innefattar inte de detaljerade sammanställningarna alla de kostnader som verksamheterna har och den totala sammanställningen innefattar mer än bara IT avseende konsultkostnader. Det finns inte heller någon indelning på kostnader i drift, förvaltning och utveckling. Utöver detta har vi inte kunnat se att man arbetar utifrån ett långsiktigt perspektiv när gäller IT-investeringar och förnyelse av IT. Som exempel finns det i dagsläget många äldre arbetsstationer men det finns ingen central plan för hur dessa ska förnyas. 8
5.1 IT-Strategi - Rekommendationer För att stärka det strategiska samarbetet mellan verksamhet och IT rekommenderar vi att Mjölby kommun inför en styrmodell för samarbete avseende strategiska IT-frågor. I denna styrmodell är ett centralt inslag en IT-styrgrupp med representanter från alla förvaltningar och IT. Att prioritera en styrmodell för IT-verksamheten är en förutsättning för att effektivisera och kvalitetssäkra IT-leveransen inom Mjölby kommun. Mjölby kommun arbetar för närvarande med att ta fram förvaltningsplaner för att definiera ansvar och förväntningar mellan verksamhet och IT. Vi rekommenderar att kommunen fortsätter med detta arbete med fokus på de högst prioriterade systemen. Huvudansvaret för dessa verksamhetsplaner bör ligga hos verksamheten och stämmas av med IT så att de kan planera sin verksamhet baserat på dessa planer. För att möjliggöra en effektiv uppföljning av dessa verksamhetsplaner rekommenderar vi även att kommunen tar fram lämpliga KPI:er kopplade till verksamhetsplanerna. Vår rekommendation är att Mjölby kommun ser över sina befintliga styrande dokument för IT och säkerställer att de anger kommunledningens (verksamhetens) mål, prioriteringar och processer avseende IT. Det är även viktigt att policies och riktlinjer finns på alla relevanta områden, och är förankrade och kommunicerade i verksamheten samt att det finns rutiner för att följa upp efterlevnad av befintliga riktlinjer. Styrande dokument för IT bör ge svar på frågorna; varför har vi IT, vad ska vi göra inom IT och hur ska vi göra det? Vi rekommenderar att Mjölby kommun ser över hur IT-kostnader sammanställs och säkerställer att alla relevanta kostnader inkluderas. En bra uppdelning är att fördela kostnader på drift, förvaltning och utveckling uppdelat per förvaltning, centralt för IT samt totalt för hela kommunen. Dessa kostnader ska kunna kopplas till verksamhetsplanerna och innefatta en investeringsplan. En lämplig tidshorisont för en investeringsplan kan vara tre år. 9
5.2 IT-leverans - Översikt 10
5.2 IT-leverans - Observationer Systemägare finns utpekade för samtliga system. Däremot så är det i stort sett enbart förvaltningar och inte personer som har denna roll. Enligt information vi har fått innebär detta att det är förvaltningschefen i den utpekade förvaltningen som är systemansvarig. Exempelvis innebär detta att kommunchefen är systemägare för de 50 system där enbart kommunstyrelsen står som systemägare. Det finns ingen central styrning av IT när det gäller system och outsourcing. Det har framkommit att verksamheten fritt kan outsorca IT-tjänster som övervakning och drift av sina IT-system om man anser det lämpligt. Detta leder bland annat till att det finns ett flertal olika supportverksamheter inom kommunen avseende IT-frågor, vilket gör det svårt att följa upp incidenthantering på en övergripande nivå. Det finns idag ingen central hantering och administrering av incidenter, licenser och avtal etc. Det finns inga formella rutiner för förändringshantering. Alla system har inte en testmiljö och det finns inga minimikrav på vilken nivå av testning som måste utföras. Det finns inte heller krav på formellt godkännande av förändringarna innan de produktionssätts. Normalt sett är det utvecklare (externa leverantörer) som produktionssätter förändringar. Enligt information finns det en kontinuitetsplan för verksamheten. Det finns även ett fåtal avbrottsplaner för IT-system som telefoni och extern webb, men det finns inte avbrottsplaner för alla kritiska system som är kopplade till den övergripande kontinuitetsplanen för verksamheten. Avseende det fysiska IT-skyddet har kommunen identifierat vissa förbättringsområden som t.ex. bättre brandoch fuktskydd, stabilare kylning och förstärkt passersystem. Vi har noterat att Mjölby kommun inte har en enhetlig modell kring projekt. I dagsläget förlitar sig Mjölby kommun mycket på leverantörernas projektmodeller samt de externa projektledare som styr projekten. Vidare sker ingen övergripande uppföljning på projekt. Det görs PENG-analyser på vissa projekt för att tydliggöra verksamhetsnyttan. I de dokument vi granskat avseende hur upphandling av nya IT-system görs, kan vi notera att upphandlingsdokumenten innefattar IT-krav men saknar en beskrivning av verksamhetskrav som kopplar till verksamhetsprocesser. De mallar för avtal mellan verksamheten och IT som finns idag är på en relativt teknisk nivå. Det finns däremot inga interna SLA:er definierade som fokuserar på de krav verksamheten har på funktionaliteten i sina verksamhetssystem. Det saknas även en gemensam definition på hur incidenter ska klassificeras för att säkerställa att verksamhet och IT har en gemensam syn på prioritet. 11
5.2 IT-leverans - Rekommendationer Vi rekommenderar att Mjölby kommun ser över systemägarskap för att säkerställa att det är förankrat i verksamheten. Vi rekommenderar att kommunen utarbetar en sourcingstrategi och arbetar med en mer central styrning för outsourcing av tjänster kopplade till IT. Det är också viktigt att IT är delaktig i diskussioner om outsourcing av IT-tjänster. I detta arbete bör även alla avtal samlas centralt. Vi rekommenderar även att kommunen överväger att införa en central hantering av incidenter, en så kallad Single Point of Contact (SPOC). Därifrån delegeras incidentärenden sedan ut till ansvarig enhet men dokumentation och uppföljning görs centralt. Om en SPOC inte anses vara en lämplig lösning för kommunen rekommenderar vi att en process utarbetas för att på ett samlat sätt kunna följa upp alla incidenter, både de som hanteras på IT, i verksamheten eller hos externa leverantörer. Vi rekommenderar att en formell förändringsrutin utarbetas och att krav på utförande och dokumentation av tester och godkännanden för olika typer av förändringar definieras. Ansvar för tester och godkännanden bör också definieras i en sådan rutin. Det är också viktigt att åtkomst för externa leverantörer som kan produktionssätta förändringar begränsas och övervakas. Vi rekommenderar kommunen att dokumentera åtgärder som behöver vidtas, och av vem, för att effektivt återställa system, applikationer och processer vid en eventuell incident. Ansvarsområden måste beskrivas och kommuniceras till alla berörda genom utbildning samt test av planen. Katastrof- och kontinuitetsplanerna måste stämmas av med de krav som verksamheten har. Vi rekommenderar att Mjölby kommun inför krav på att projekt måste bedrivas enligt en formell metod och att minimikrav på moment som måste genomföras och dokumenteras innefattas i dessa krav. Det är viktigt att beslutspunkter är tydligt definierade och att projekten följs upp kontinuerligt. Eftersom PENG-metoden används är det viktigt att säkerställa att det finns utpekade nyttohemtagningsansvariga samt att uppföljning görs kontinuerligt. Vid upphandlingar rekommenderar vi att Mjölby kommun säkerställer att förfrågningsunderlaget innefattar en beskrivning av verksamhetens processer och krav inom dessa. Om enbart detaljerade krav listas utan denna koppling till verksamhetens processer finns det en risk att de svar och lösningar man får inte överensstämmer med det verksamheten önskar. De systemavtal som finns idag skulle kunna vara grunden till en teknisk tjänstekatalog men bör kopplas till en tjänstekatalog som är formulerad mer utifrån verksamhetens behov och typer av tjänster. För att säkerställa att verksamhet och IT är överens om prioriteten på uppkomna incidenter rekommenderar vi att parterna kommer överens om ett klassificeringssystem som kan illustrera detta. De olika överenskomna prioriteterna kan med fördel kopplas t.ex. till maximal tid för att påbörja sökning, maximal tid för åtgärd och eskaleringsrutiner. 12
5.3 Teknologi - Översikt 13
5.3 Teknologi - Observationer Det finns en beskrivning av den befintliga IT-miljön på en övergripande nivå. Enligt den information som vi har fått är IT dessutom i dagsläget ofta involverade i upphandlingsprojekt för att diskutera tekniska krav. Däremot finns det ingen uttalad strategi när det gäller IT-teknik som beskriver IT-miljön ur ett mer långsiktigt perspektiv. T.ex. strävan att använda sig av virtuella servrar, att uteslutande använda Microsoft-produkter, att enbart använda sig av standardsystem etc. 14
5.3 Teknologi - Rekommendationer Vi rekommenderar att kommunen utarbetar en strategi avseende tekniker som ska användas i IT-miljön. Denna strategi bör syfta till att säkerställa att kommunens IT-drift är effektiv och hållbar ur ett långsiktigt perspektiv. Vi rekommenderar också att krav på IT-teknik dokumenteras och formuleras tydligt och i enlighet med den beslutade strategin. 15
5.4 Personal - Översikt 16
5.4 Personal - Observationer Ansvaret för att användare får nödvändig utbildning av de applikationer de använder ligger oftast hos systemförvaltarna. Enligt den information vi har fått sker detta normalt på ett bra sätt men det finns ingen övergripande strategi när det gäller vilken utbildning som krävs för varje typ av användare. 17
5.4 Personal - Rekommendationer Vi rekommenderar att Mjölby kommun ser över vilka behov som finns av utbildning för olika typer av användare och följer upp om användare har fått den utbildning som krävs för de arbetsuppgifter de har. Viktigt i detta är även att ta hänsyn till utbildning avseende sådant som inte är applikationsspecifikt, t.ex. informationssäkerhet och användning av arbetsstation. 18
5.5 System och applikationer - Översikt 19
5.5 System och applikationer - Observationer Mjölby kommun har ett stort antal applikationer i sin IT-miljö och vi har fått information om att det är ett flertal av dessa som har samma typ av funktionalitet. Det finns inget nätverk inom kommunen där applikationsfunktionalitet kan diskuteras över förvaltningsgränserna och tillsammans med IT. 20
5.5 System och applikationer - Rekommendationer Vi rekommenderar att Mjölby kommun ser över sin flora av applikationer för att säkerställa att de applikationer som finns utnyttjas på ett så effektivt sätt som möjligt och att potentiella synergieffekter av att samköra applikationer utnyttjas. Vi rekommenderar även att ett nätverk införs med deltagare från de olika förvaltningarna och IT så att diskussioner kring användandet av applikationer kan hållas löpande. 21
Avslutning Vi vill avslutningsvis ta tillfället i akt och tacka de personer som deltagit i intervjuer och bidragit med underlag till denna översyn för ett vänligt bemötande och ett gott samarbete. Vid frågor om översynen kan Linda Sandelin eller Klara Lundgren kontaktas. Stockholm april 2011