www.pwc.com/se Motala kommun Översyn av IT-verksamheten April 2011
Innehållsförteckning 1. Bakgrund och syfte 2. Metod 3. Genomförande 4. Revisionsfrågor - sammanfattning 5. Detaljerad analys - observationer och rekommendationer 2
1. Bakgrund och syfte Inledning Under mars 2011 har på uppdrag av revisionen i Motala kommun genomfört en översiktlig granskning av kommunens ITverksamhet. Granskningen omfattar IT-avdelningen såväl som IT-verksamheten inom ett urval av förvaltningar. Resultatet av granskningen presenteras i denna rapport. Syfte Uppdraget innebar att översiktligt granska IT-verksamheten för att förstå huruvida denna uppfyller det behov av IT-stöd som finns i kommunen. Granskningen fokuserar på; styrning och strategifrågor, teknologi och funktionalitet, projekt, personalaspekter såsom kompetens och bredd samt ekonomi och uppföljning. Revisionsfrågor Rapporten avser att övergripande ge svar på följande: 1. Är användningen av resurser organiserad, strukturerad och kontrollerad för att ge en optimal IT-leverans samt ett optimalt verksamhetsstöd? 2. Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? 3. Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? 4. Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? 5. Hur hanteras personal och relation mellan IT och övrig verksamhet (kompetens, attityder, reaktionsförmåga, processer och effektivitet)? 6. Är applikationer och verksamhetssystem ändamålsenliga och kostnadseffektiva? Ger systemen tillräckliga beslutsunderlag och vilka ytterligare behov finns? 3
2. Metod Under granskningen har ett verktyg (ITM IT Management analysis) använts. Verktyget bygger på en databas som innehåller jämförbar (s.k. good practice och benchmarking) och relevant information för generell IT-verksamhet inom områdena IT-strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). IT-strategi IT-leverans Teknologi Personal System och applikationer Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans samt ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? Baserat på metoden ovan har respektive delområde bedömts utifrån en femgradig skala. Resultatet sammanfattas i ett cirkeldiagram, där färgerna rött, gult och grönt påvisar utfall i förhållande till ett önskvärt läge. I bedömningen och vår slutsats har förutsättningar och omständigheter, specifika för Motala kommun, vägts in. 4
3. Utförande Granskningen har utförts genom intervjuer med nyckelpersoner inom Motala kommun, samt inläsning och genomgång av dokumentation, utredningar och annat relevant material. Sammanlagt har sex personer intervjuats (se tabell nedan). Urvalet har varit strategiska IT-personer från kommunledningen, ansvarig och operativ personal för IT-frågor samt verksamhetsrepresentanter. Namn Annika Karlsson Håkan Melander Mats Andersson Titel Driftchef IT-samordnare Socialförvaltningen IT-tekniker Ole Lidegran Per-Anders Jansson Peter Ingesson IT-samordnare Bildning IT-strateg Kommunchef 5
4. Sammanfattning Vår sammanfattande bedömning av IT-verksamheten vid Motala kommun är att den inte är fullt effektivt hanterad i dagsläget. Avsaknad av samverkan på relevanta områden, en effektiv kommunikation mellan enheter (dvs förvaltningar och IT) och en förankrad prioritering bedöms vara de främsta orsakerna till den rådande situationen. Generellt sett har vi noterat att kommunen har påbörjat ett strukturerat arbete med utveckling, drift och förvaltning av IT avseende processer och organisation. Vår övergripande rekommendation är att Motala kommun fortsätter med sitt arbete med IT-planering samt prioriterar arbetet med att förbättra samverkan och kommunikation samt tydliggöra processen för prioritering av aktiviteter kopplade till IT. Efter ett sådant arbete finns det bland annat större möjligheter att framtida utveckling av systemen sker i den takt som verksamheten efterfrågar. Ytterligare rekommendationer finns dokumenterade under respektive delområde i detta avsnitt. NOT: Området Quality Management och People Management har inte varit del av granskningen eftersom de inte är kopplade till revisionsfrågorna, därför finns ingen markerad färg i diagrammet till höger. 6
5.1 IT-Strategi - Översikt 7
5.1 IT-Strategi - Observationer Det finns i dagsläget ingen IT-chef i Motala kommun utan motsvarande ansvar delas till stor del av en Driftschef IT och en IT-strateg. Dock är det ingen av dessa som har som ansvar att driva IT-organisationen. Vi har dessutom noterat att det finns en otydlighet i vad IT har för roll i förhållande till verksamheten samt att roller inom IT inte är tydligt uppdelade för att stödja verksamheten. Motala kommun saknar ett antal relevanta styrande dokument för IT som t.ex. IT-strategi. De befintliga styrande dokumenten för IT saknar dessutom en tydlig struktur och koppling till de riktlinjer som finns i kommunens ledningssystem. Ett arbete är pågående för att uppdatera IT-policy och då ska även denna koppling ses över. Det finns inga rutiner för att följa upp efterlevnad av styrande dokument för IT. Motala kommun arbetar för närvarande med IT-planer för att planera sitt förvaltnings- och utvecklingsarbete avseende IT. Varje förvaltning tar fram en IT-plan som sedan sammanställs i en total IT-plan. Trots denna planering noterade vi att verksamheten ibland blev frustrerad över att deras önskemål inte kunde genomföras utan att förstå varför. Det är även oklart hur de önskemål från verksamheten som inte kommer med i den sammanställda IT-planen hanteras. Vår uppfattning är att den sammanställda IT-planen kopplar mer till politikernas strategier än verksamheternas nerbrutna önskemål. Planerna saknar en tydlig koppling till budget eller bedömd nytta för verksamheten och det går inte utläsa vad som ska utföras av IT respektive verksamhet. Med de sammanställningar av IT-kostnader som kommunen normalt arbetar med har vi inte kunnat få en total bild av vad IT kostar för kommunen som helhet. Kommunens sammanställningar stämmer dessutom inte överens med den bild som en extern rapport från 2009 visar, där kostnaderna för IT beräknas vara långt större än de kostnader som kommunen beräknat. I kommunens beräkningar är verksamhetens IT-kostnader inte tydliggjorda och ett stort ansvar ligger på verksamheten att se till att de har en långsiktig planering kring IT och kvalitet i sina IT-system. Dock har vi noterat att verksamheten inte alltid fullt ut har tagit detta ansvar, t.ex. när det gäller förnyelse av arbetsstationer. Vi har noterat att drift och utbyggnad av stadsnätet tar mycket resurser från IT och IT-organisationen är inte byggd för att kunna hantera alla frågor kring detta. 8
5.1 IT-Strategi - Rekommendationer Vi rekommenderar att Motala kommun säkerställer att en IT-chef tillsätts som kan driva IT-organisationen på ett sätt som stödjer verksamheten. Detta bör vara speciellt prioriterat för kommunen nu eftersom Driftchef IT går i pension till hösten 2011. Vi rekommenderar även att kommunen fortsätter med sin omorganisering av IT-verksamheten för att kunna stödja verksamheten på ett bättre sätt genom att tydliggöra roller för drift respektive utveckling samt gränssnittet mot verksamheten. Vår rekommendation är att Motala kommun fortsätter att uppdatera sin befintliga IT-policy och säkerställer att den kopplar till de riktlinjer som finns i kommunens ledningssystem. Det är även viktigt att kommunen ser över att policys och riktlinjer finns på alla relevanta områden, är förankrade och kommunicerade i verksamheten samt att det finns rutiner för att följa upp efterlevnad av befintliga riktlinjer. Styrande dokument för IT bör ge svar på frågorna; varför har vi IT, vad ska vi göra inom IT och hur ska vi göra det. För att stärka arbetet med IT-planer rekommenderar vi att kommunen tydliggör processen för prioritering i framtagandet av den sammanställda IT-planen och hantering av önskemål som inte ingår i denna. En införandeplan för alla de önskemål som verksamheterna har bör ingå i hanteringen av önskemål som inte ingår i den sammanställda ITplanen. Vi rekommenderar även att tydliggöra kopplingen i IT-planerna till budget och bedömd affärsnytta samt att det ska gå att utläsa vad som ska utföras av IT respektive verksamhet. Vi rekommenderar att Motala kommun ser över hur IT-kostnader sammanställs och säkerställer att alla relevanta kostnader inkluderas. En bra uppdelning är att fördela kostnader på drift, förvaltning och utveckling uppdelat per förvaltning, centralt för IT samt totalt för hela kommunen. Dessa kostnader ska kunna kopplas till IT-planerna för respektive förvaltning. För att möjliggöra en effektiv uppföljning rekommenderar vi även att kommunen tar fram lämpliga mätetal, s k KPI:er, kopplade till IT-planerna. Vi rekommenderar att Motala kommun definierar en strategi för drift och utbyggnad av stadsnätet och var i verksamheten detta ska hanteras. Det är viktigt att säkerställa att den del av verksamheten som får detta ansvar har tillräckliga och relevanta resurser för att hantera alla frågor kopplade till stadsnätet inklusive projektering, implementering, drift och support. 9
5.2 IT-leverans - Översikt 10
5.2 IT-leverans - Observationer Motala kommun har ett dokument som beskriver en bra struktur för ansvar och roller inom IT. Vid våra intervjuer noterade vi dock att denna beskrivning inte stämmer överens med hur roller och ansvar ser ut inom IT. T.ex. beskrivs rollen Driftchef IT som en traditionell IT-chef men den nuvarande driftchefen uppfattar vi inte har denna typ av roll. Avseende rollerna systemägare och systemförvaltare har vi inte kunnat få dokumentation på vem som innehar dessa roller för varje system. Det är även oklart om de som har detta utpekade ansvar är medvetna om innebörden av sin roll och vi har noterat att ansvaret för systemens utveckling är oklar. Kommunikation mellan verksamhet och IT kan förbättras och det finns inga uttalade åtaganden mellan verksamhet och IT. Försök har gjorts att öka kommunikation t.ex. genom användning av en IT-checklista (dokument Införande av nytt IT-system ) som ska användas vid upphandlingar. Vi har dock noterat att denna checklista inte verkar ha främjat diskussionen mellan verksamhet och IT som det var förväntat från IT. Checklistan är relativt IT-teknisk och strukturen över innehållet är inte tydlig. Det finns inga formella rutiner för förändringshantering. Det finns enbart testmiljö för ett system och det finns inga minimikrav på vilken nivå av testning som måste utföras för olika system. Det finns inte heller krav på formellt godkännande av förändringarna innan de produktionssätts. Normalt sett är det utvecklare som produktionssätter förändringar. Vi har noterat att Motala kommun inte har en modell kring projekt som innefattar en metod för att hantera projektförändringar och göra uppföljning av projekt. Det finns heller ingen metod för överlämning av projekt till drift och förvaltning vilket leder till att en person från IT som varit inblandad i ett projekt inte kan gå vidare med andra arbetsuppgifter. Vi har noterat att IT i dagsläget inte har möjlighet att arbeta proaktivt med drift och utveckling vilket främst beror på att resurserna går åt till att hantera driftstörningar och andra incidenter. Incidenter dokumenteras inte alltid och det finns inte någon rutin för att följa upp grundorsaker till incidenter i en problemhanteringsprocess. Det finns även brister i systemdokumentation då den sällan uppdateras vid förändringar. Enligt information finns det en krisplan för verksamheten men det finns inte kontinuitetsplaner för IT kopplade till denna. Det finns inte heller några prioriteringar mellan system baserat på verksamhetens behov. 11
5.2 IT-leverans - Rekommendationer Vi rekommenderar att Motala kommun ser över dokumentet som beskriver ansvar och roller inom IT och säkerställer att alla relevanta ansvarsområden i dokumentet täcks in i den befintliga verksamheten. När detta arbete är utfört är det viktigt att de personer som tilldelas de olika rollerna informeras om vad deras ansvar och befogenheter är, samt att en förteckning över vilka personer som innehar olika roller upprättas. Notera även att det bör dokumenteras för varje system vem som är utpekad systemägare och systemförvaltare. Vi rekommenderar att kommunen ser över kommunikationsvägar mellan verksamhet och IT, samt säkerställer att åtaganden däremellan tydliggörs och dokumenteras. Ett sätt att definiera åtaganden är att ta fram en s.k. tjänstekatalog där det finns en tydlig beskrivning av olika IT-tjänster och vad de kostar. Det är viktigt att dessa tjänster är utformade utifrån verksamhetens perspektiv och inte på en IT-teknisk nivå. Vi rekommenderar även att kommunen ser över IT-checklistan för att säkerställa att den förankras även i verksamheten och att den används mer som ett diskussionsunderlag mellan verksamhet och IT som är en del av det ursprungliga syftet med dokumentet. Checklistan används idag enbart vid upphandlingar men skulle även kunna användas vid uppgraderingar av system. Vi rekommenderar att en formell förändringsrutin utarbetas och att krav på utförande och dokumentation av tester och godkännanden för olika typer av förändringar definieras. Ansvar för tester och godkännanden bör också definieras i en sådan rutin. Det är också viktigt att åtkomst för externa leverantörer som kan produktionssätta förändringar begränsas och övervakas. Vi rekommenderar att Motala kommun inför krav på att projekt ska bedrivas enligt en formell metod och att minimikrav på moment som måste genomföras och dokumenteras innefattas i dessa krav. Det är viktigt att beslutspunkter är tydligt definierade och att projekten följs upp kontinuerligt. För att kunna gå över till ett mer proaktivt arbetssätt är det viktigt att t.ex. fokusera på att säkerställa att det finns tillräckliga personalresurser på IT, tydliggöra vad IT har för ansvar (inklusive frågan om stadsnätet), förbättra systemdokumentation, se över verktyget för incidenthantering samt utarbeta en rutin för utvärdering av grundorsaker för incidenter. Vi rekommenderar kommunen att dokumentera de åtgärder som behöver vidtas, och av vem, för att effektivt återställa system, applikationer och processer vid en eventuell större incident. Ansvarsområden måste beskrivas och kommuniceras till alla berörda genom utbildning samt test av planen. Katastrof- och kontinuitetsplanerna måste stämmas av med de krav som verksamheten har, inklusive en prioritering mellan system. 12
5.3 Teknologi - Översikt 13
5.3 Teknologi - Observationer Det finns en övergripande dokumentation om vilka plattformar som används i kommunens IT-miljö, men det finns ingen strategi kring vilka plattformar som är tillåtna att använda. Vi har under våra intervjuer fått motstridiga uppgifter från olika personer om vilken strategi som gäller, vilket också tyder på att detta inte är en fråga som är hanterad i kommunen. 14
5.3 Teknologi - Rekommendationer Vi rekommenderar att kommunen utarbetar en strategi avseende vilka teknologier som ska användas i ITmiljön. Denna strategi bör syfta till att säkerställa att kommunens IT-drift är effektiv och hållbar ur ett långsiktigt perspektiv. Det är viktigt att arbeta efter en tydlig teknisk strategi, det är även viktigt för att kunna säkerställa att rätt kompetens alltid finns inom IT-avdelningen. Vi rekommenderar också att krav på IT-teknik dokumenteras och formuleras tydligt och i enlighet med den beslutade strategin. IT-checklistan (dokument Införande av nytt IT-system ) bör dessutom kopplas till de krav som gäller. 15
5.4 Personal - Översikt 16
5.4 Personal - Observationer Personer hos IT får ofta god kunskap om verksamheten då de jobbat i projekt, men det finns ingen generell strategi för att överbrygga kunskapsgap mellan verksamhet och IT. Vi har noterat att kommunen har en låg kostnad för utbildning hos IT och enligt uppgift så har IT-personalen sällan tid att gå på utbildningar. Vi har noterat att slutanvändarna har olika supportverksamheter att kontakta för olika typer av ärenden. Ibland ligger support hos IT, ibland hos verksamheten och ibland hos en extern leverantör. Baserat på IT-avdelningens tunga arbetsbelastning sker det även att IT-supporten stänger ner t.ex. under större uppgraderingsprojekt. Vi har även uppfattat att de personer som arbetar på IT har en ohållbar situation ur ett långsiktigt perspektiv när det gäller den höga arbetsbelastningen. 17
5.4 Personal - Rekommendationer Vi rekommenderar att Motala kommun ser över vilka behov som finns av utbildning hos IT och avsätta tid samt resurser så att relevanta utbildningar kan genomföras. Detta är viktigt för att säkerställa att rätt kompetens finns hos IT ur ett långsiktigt perspektiv samt för att IT-personalen ska ha möjlighet till en positiv och hållbar utveckling. Inom ramen för utbildningsstrategi bör kommunen även inkludera att se över behovet av utbildning för att säkerställa att det finns förutsättningar för en ökad förståelse mellan verksamheten och IT. Vi rekommenderar att kommunen överväger att införa en central hantering av incidenter, en så kallad Single Point of Contact (SPOC). Därifrån delegeras incidentärenden sedan ut till ansvarig enhet men dokumentation och uppföljning görs centralt. Om en SPOC inte anses vara en lämplig lösning för kommunen rekommenderar vi att en process utarbetas för att på ett samlat sätt kunna följa upp alla incidenter, både de som hanteras på IT, i verksamheten eller hos externa leverantörer. Avseende IT-personalens höga arbetsbelastning är det viktigt att kommunen arbetar med ett flertal stora områden som bidrar till denna situation, t.ex. tydliggöra IT-organisationen och kraven från verksamheten, drift och utveckling av stadsnätet, projekt- och förändringshantering samt incidentoch problemhantering. 18
5.5 System och applikationer - Översikt 19
5.5 System och applikationer - Observationer Enligt uppgift är den IT-miljö som eleverna arbetar i idag undermålig och det finns ingen plan för hur detta ska åtgärdas. Vi har även sett fler indikationer på att det finns brister i arbetet med att utveckla och förbättra befintliga system. T.ex. uppfattade vi att man använder ett informellt excel-dokument för att hantera brister i personalsystemets tidrapporteringsfunktion istället för att utveckla systemet. Även när det gäller ett specifikt långvarigt problem kopplat till distansarbetsplatser uppfattade vi att det inte finns ett tydligt ägarskap för att hantera problemet. IT har gett ut riktlinjer avseende informationssäkerhet men denna innefattar inte instruktioner om hur information ska klassificeras. Ansvaret för information och hur data ska struktureras ligger ute i verksamheterna men det finns inga centrala riktlinjer som definierar hur olika typer av information ska hanteras. 20
5.5 System och applikationer - Rekommendationer Vi rekommenderar att ansvaret för utveckling och drift av olika system tydliggörs för att undvika en ineffektiv användning och hantering av system. Det är även viktigt att skapa möjligheter för att arbeta proaktivt och att hantera frågor som dyker upp inom en rimlig tidsram. Vi rekommenderar att kommunen skapar tydliga och enhetliga riktlinjer avseende klassificering av information som är kopplat till de inarbetade begreppen om offentlighet och sekretess. Dessa riktlinjer bör sedan kommuniceras i verksamheten och följas upp avseende efterlevnad för att säkerställa att information hanteras på ett korrekt sätt. 21
Avslutning Vi vill avslutningsvis ta tillfället i akt och tacka de personer som deltagit i intervjuer och bidragit med underlag till denna översyn för ett vänligt bemötande och ett gott samarbete. Vid frågor om översynen kan Linda Sandelin eller Klara Lundgren kontaktas. Stockholm april 2011 2010. All rights reserved. Not for further distribution without the permission of. "" refers to the network of member firms of PricewaterhouseCoopers International Limited (IL), or, as the context requires, individual member firms of the network. Each member firm is a separate legal entity and does not act as agent of IL or any other member firm. IL does not provide any services to clients. IL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm nor can it control the exercise of another member firm's professional judgment or bind another member firm or IL in any way.