14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15



Relevanta dokument
Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Uppföljning av upphandling svar på revisionsskrivelse

Förstudie: Övergripande granskning av ITdriften

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Informationssäkerhetspolicy för Ystads kommun F 17:01

Organisation för samordning av informationssäkerhet IT (0:1:0)

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Svar på revisionsskrivelse informationssäkerhet

IT-Strategi. för Munkfors, Forshaga, Kils och Grums kommun. IT-Strategi. Kommunsamverkan Grums, Forshaga, Kil och Munkfors Utfärdad av

Strategi Program Plan Policy» Riktlinjer Regler

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Hantering av IT-risker

FÖRFATTNINGSSAMLING 1 (6)

IT-verksamheten, organisation och styrning

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Riktlinjer för internkontroll i Kalix kommun

Informationssäkerhet - Informationssäkerhetspolicy

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

RIKTLINJER FÖR IT-SÄKERHET

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

IT-Säkerhetspolicy för Munkfors, Forshaga, Kils och Grums kommun

Granskning av IT-hanteringen

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Göteborgs universitets IT-strategiska plan

KUNGSBACKA KOMMUN Nämnden för Teknik

Övergripande granskning av ITverksamheten

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Informationssäkerhetspolicy inom Stockholms läns landsting

POLICY INFORMATIONSSÄKERHET

Revisionsrapport Motala kommun

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Avtalsförvaltning avseende Gemensam ITservice

Granskning avseende efterlevnad av fullmäktiges styr- och policydokument. Sandvikens kommun

Kommunstyrelsen Bygg- och miljönämnden Humanistiska nämnden Socialnämnden Tekniska nämnden. För kännedom: Kommunfullmäktiges presidium

System- och objektförvaltning - roller

SAMMANTRÄDESPROTOKOLL Sid LAHOLMS KOMMUN Sammanträdesdatum 1 Kommunstyrelsen Dnr

Övergripande granskning av IT-driften - förstudie

Uppföljning av tidigare granskningar

Grundläggande granskning av samarbetsnämnd för löneservice

Kommunstyrelsens kontor. Riktlinjer. För styrdokument i Södertälje kommun

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

Informationssäkerhetspolicy

Informationssäkerhetspolicy

KVALITETSPOLICY. Fastställd av kommunstyrelsen 24 maj 2010 POLICY

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Härjedalens Kommuns IT-strategi

Förtroendevald revisor i regionens stiftelser

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

IT-strategi-Danderyds kommun

Digital strategi för Strängnäs kommun

Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Arvika kommun. Styrning, ledning och organisation inom IT i kommunen samt dess aktiebolag. Revisionsrapport

Informationssäkerhetspolicy

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet IT-strategigruppen

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Översyn av IT-verksamheten

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Regler och instruktioner för verksamheten

Svar på revisionsrapport om kommunens IT-strategi

Uppföljning avseende granskning kring Avtalstrohet

Lokala regler och anvisningar för intern kontroll

Uppföljande granskning av kommunstyrelsens förebyggande arbete avseende mutor och oegentligheter

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Riktlinjer för verksamhetsutveckling med hjälp av IT (e-förvaltningsutveckling) i Norrköpings kommun

Informationssäkerhetspolicy

IT-policy, Vansbro kommun Fastställd av fullmäktige den , 42. Datum Ärende KS2012/262

Granskning intern kontroll

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Landstinget Gävleborg, Bollnäs, Söderhamns, Hudiksvalls och Nordanstigs kommun

Kommunrevisionen: Granskning av intern kontroll 2016

Policy och strategi för informationssäkerhet

Granskning av intern kontroll

Revisionsrapport "Förstudie av kommunens ITorganisation"

Malung-Sälens Kommun. Kommunstyrelsens styrning, uppföljning och kontroll av de egna verksamheterna. Revisionsrapport

Uppföljande granskning av överförmyndarverksamheten

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta IT-strategi för Nykvarns kommun.

Granskning av Intern kontroll

Revisionsrapport angående granskning av kommunens anpassning till nya IT-lösningar

Revisor i samordningsförbund enligt lag om finansiell samordning av rehabiliteringsinsatser.

IT-strategi Bollebygds kommun

Övergripande granskning IT-driften

Kommunens ITorganisation

IT-strategi. Krokoms kommun

Handlingsplan för persondataskydd

IT-säkerhetspolicy. Finspångs kommun Finspång Telefon Fax E-post: Webbplats:

4. Inriktning och övergripande mål

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

IT-säkerhetspolicy. Fastställd av KF

Regler och riktlinjer för intern styrning och kontroll vid KI

Transkript:

Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 25 (38) Sammanträdesdatum 2015-06-10 Dnr KS 2015/102 14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga 112.15 Sammanfattning Kommunens revisorer har granskat Haninge kommuns hantering av IT under 2014. Syftet med granskningen har varit att bedöma om intern kontroll inom IT är tydlig och ändamålsenlig baserat på verksamhetens krav. Det pågår arbete inom kommunen för att inventera kommande års behov av IT inom de olika förvaltningarna samtidigt som en förbättrad kostnadsmodell för IT är under framtagande. Revisorerna anser att kommunen bör prioritera arbetet med att ta tydliggöra den strategiska rollen för IT. Revisorerna har lämnat tydliga rekommendationer. Förvaltningens synpunkter Kommunens verksamhet är i allt högre grad beroende av ett ändamålsenligt och robust IT-stöd. Detta skall återspeglas i all hantering av IT, de roller och styrdokument som kommunen använder samt den strukturerade riskhantering detta påkallar. Kommunen har sedan 2014 bedrivit ett omfattande arbete med att identifiera verksamheternas behov och definiera en tydlig IT-strategi. Detta arbete beräknas vara avslutat under hösten 2015. Kommunstyrelseförvaltningen har lämnat en närmare redogörelse i bifogad skrivelse. Underlag för beslut Tjänsteutlåtande 2015-05-19 Granskning rörande kommunens hantering av IT svar på revisionsskrivelse Revisionsrapport 2014 Granskning rörande kommunens hantering av IT Revisionsskrivelse 2015-03-23 Kommunalrådsberedningens förslag till kommunstyrelsen Kommunstyrelsen beslutar

Beslutande organ Dokumenttyp Sida Kommunstyrelsen Kallelse/dagordning 26 (38) Sammanträdesdatum 2015-06-10 1. Kommunstyrelseförvaltningens skrivelse skall utgöra kommunstyrelsens svar på revisionsskrivelsen. Expedieras: Akt För verkställighet: För kännedom: Revisorerna

19 maj 2015 HR-direktören Kommunstyrelsen Granskning rörande kommunens hantering av IT svar på revisionsskrivelse Sammanfattning Kommunens revisorer har granskat Haninge kommuns hantering av IT under 2014. Granskningen har sin upprinnelse i den betydande förändring som kommunen genomförde under 2010, då drift av IT-system flyttades ut till en extern leverantör. Syftet med granskningen har varit att bedöma om intern kontroll inom IT är tydlig och ändamålsenlig baserat på verksamhetens krav. Det pågår för närvarande arbete inom kommunen för att inventera kommande års behov av IT inom de olika förvaltningarna samtidigt som en förbättrad kostnadsmodell för IT är under framtagande. Revisorerna anser att dessa åtgårder är högst relevanta. Revisorerna anser att kommunen bör prioritera arbetet med att ta fram effektiva styrdokument för arbetet med IT. Detta dokument bör tydligt återspegla IT:s strategiska roll inom kommunens verksamheter samt hur detta tydligt återspeglas i regelverket för intern kontroll. Revisorerna lämnar följande rekommendationer: Kommunen bör tydliggöra hur IT skall integreras på ett ändamålsenligt sätt i kommunens övergripande struktur för intern kontroll. Kommunen rekommenderas att fastställa och tydliggöra en kommunövergripande IT-strategi samt tydliga riktlinjer för informationssäkerhet. Tydliggör roller och ansvar mellan den centrala IT-funktionen och respektive systemägare i verksamheterna. Kommunen bör överväga att tydliggöra den strategiska tyngden när det gäller hantering av IT-området samt hur detta återspeglas i kommunens ledningsstruktur. Kommunstyrelseförvaltningens synpunkter Postadress Besöksadress Telefon Fax/e-post Postgiro Bankgiro 136 81 Haninge Rudsjöterrassen 2 Växel: 08-606 70 00 1265-8 Direkt: 08-606 83 37 PH.Magnusson@haninge.se

2 (3) Kommunens verksamhet är i allt högre grad beroende av ett ändamålsenligt och robust IT-stöd. Detta skall återspeglas i all hantering av IT, de roller och styrdokument som kommunen använder samt den strukturerade riskhantering detta påkallar. Kommunen har sedan 2014 bedrivit ett omfattande arbete med att identifiera verksamheternas behov och definiera en tydlig IT-strategi. Detta arbete beräknas vara avslutat under hösten 2015. Ett antal åtgärder för att öka den interna kontrollen av IT har också initieras, exempelvis är en uppdaterad kostnadsmodell för IT under utveckling inför budgetåret 2016. Kommunstyrelseförvaltningen lämnar följande synpunkter på revisonens rekommendationer. IT- strategin kommer att vara ett grundläggande dokument för hur IT skall inriktas samt vilka mål som skall uppnås på ett övergripande plan. För den taktiska och operativa styrningen av IT-frågor skall de relevanta dokumenten uppdateras under hösten 2015. Därutöver avses IT-strategin att vara styrdokument för integrationen av IT i kommunens övergripande struktur för intern kontroll. Kommunstyrelseförvaltningen har utarbetat ett förslag till informationssäkerhetspolicy som beräknas beslutas under hösten 2015. Mot bakgrund av den externa hotbild som finns samt behovet av ökad intern kontroll kommer IT att införa fokuserade risk workshops två gånger per år. Resultatet av dessa skall vara en uppdaterad och tydlig bild av såväl operativa som strategiska risker i förhållande till kommunens IT stöd, prioritering/kvantifiering av dessa samt relevanta åtgärdsplaner. Ett arbete med att definiera roller och ansvar i gränssnittet mellan verksamhet och IT drivs inom ramen för IT-strategiarbetet. Under 2015 genomförs en revidering av kommunens kostnadsmodell. Detta arbete drivs som en del av IT-strategiarbetet och har som mål att hitta en enkel och tydlig modell för hur kostnader för IT-leveransen på ett tydligt och enkelt sätt fördelas ut till respektive förvaltning baserat på faktisk konsumtion. Dessutom skall underlag periodvis kunna redovisas till respektive förvaltning vilket medger en möjlighet till utökad kontroll av IT-kostnader genom förvaltningens aktiva val av tjänster och tjänstenivåer. Kostnadsmodellen beräknas vara färdig för etablering under 2015. I uppdraget avseende IT-strategiarbetet ingår att ta fram förslag på organisation för styrning och ledning av IT som har förutsättningar att verka kommunövergripande. Underlag för beslut

3 (3) Revisionsskrivelse 2015-03-06 PH Magnusson

Revisionsrapport 2014 Genomförd på uppdrag av revisorerna Granskning rörande kommunens hantering av IT Haninge kommun

Innehåll 1. Sammanfattning...3 2. Inledning...4 2.1. Bakgrund...4 2.2. Syfte och revisionsfrågor...4 2.3. Ansvarig nämnd...5 2.4. Granskningens genomförande...5 3. Kommunens organisation med avseende på IT...5 3.1. Övergripande struktur avseende drift av IT inom kommunen...5 3.2. Pågående förändringsarbete med avseende på hantering av IT...5 4. Bedömning utifrån revisionsfrågorna...6 4.1. Hur säkerställs informationssäkerhet samt funktionalitet och säkerhet i de väsentliga IT-system som kommunen använder?...6 4.2. Är ansvarsfördelningen för kommunens IT-hantering tydlig?...6 4.3. Finns tydliga styrdokument (policy, riktlinjer etc.) och följs efterlevnaden av dessa upp regelbundet?...7 4.4. Genomförs regelbundna riskanalyser av IT-systemen? I så fall, hur ofta?...8 4.5. Görs uppföljningar av IT-kostnader?...8 4.6. Hur arbetar kommunen med IT-konsulter, i synnerhet upphandling, styrning och uppföljning av IT-tjänster?...8 5. Slutsatser och rekommendationer...9 2

1. Sammanfattning År 2010 genomfördes en betydande förändring av Haninge kommuns IT-arbete då drift av IT-system lades ut på extern leverantör. Detta i stället för att som tidigare drifta och underhålla IT-system inom den egna organisationen. Syftet med denna granskning har varit att bedöma hurvida den interna kontrollen kopplat till IT-området är tydlig och uppfyller verksamheternas krav på ändamålsenlighet, med utgångspunkt från de förändringar som gjorts avseende IT-driften. Vidare bedöms huruvida roller och ansvar med avseende på IT-säkerhet är ändamålsenlig. Haninge kommun har i perioder haft vissa problem med belastningsattacker mot kommunens IT-nätverk. Detta har inte inneburit att faktiska intrång har gjorts eller att väsentliga datamängder gått förlorade utan mer haft konsekvenser på kapacitet och funktionalitet på vissa områden. Kommunen har med anledning av detta under föregående år vidtagit åtgärder för att komma tillrätta med problemen, vilket inneburit extra kostnader i viss utstreckning. Det pågår ett arbete inom kommunen rörande flera områden med avseende på hantering av IT. Projekt har initierats när det gäller att inventera behov av IT-kapacitet inför kommande år (kartläggning av investeringsbehov) samt även projekt för att tydliggöra faktiska kostnader för IT. Detta bedömer vi vara ändamålseniga åtgärder och högst relevanta. Vår bedömning är dock att kommunen bör prioritera arbetet med att arbeta fram relevanta och ändamålsenliga styrdokument med avseende på kommunens arbete med IT. Detta gäller inte minst när det handlar om att tydliggörande den strategiska rollen för IT inom kommunens olika verksamheter samt hur detta ska återspeglas i strukturen för intern kontroll. Med anledning av de iakttagelser som gjorts inom ramen för granskningen lämnas följande rekommendationer: Rekommendationer ü Kommunen bör tydliggöra hur IT ska integreras på ett ändamålsenligt sätt i kommunens övergripande struktur för intern kontroll. ü Kommunen rekommenderas att fastställa och tydliggöra en kommunövergripande IT-strategi samt tydliga riktlinjer när det gäller informationssäkerhet. ü Tydliggör roller och ansvar mellan den centrala IT-funktionen och respektive systemägare ute i verksamheterna. ü Kommunen bör överväga att tydliggöra den strategika tyngden när det gäller hantering av IT-området samt hur detta ska återspeglas i kommunens ledningsstruktur. 3

2. Inledning 2.1. Bakgrund All verksamhet blir i allt högre grad beroende av informationsteknologi (IT) i olika former. Verksamheter som vi tidigare inte förknippade med nyttjande av IT-verktyg och IT-stöd blir allt mer beroende av fungerande IT-system. Detta gäller i allra högsta grad samhällskritisk verksamhet som bedrivs i kommuner. IT har även blivit en strategisk resurs för ett uppnå ändamålsenlighet samt effektivitet inom de verksamheter där kommunen bedriver verksamheter. En verksamhets beroende av IT medför dock risker, om än i olika grad. Ett exempel är den ökade sårbarheten vid olika former av driftstörningar. Det är därför väsentligt att ta reda på hur IT-säkerhetsarbetet hanteras. Utifrån vilka regler och anvisningar hanteras säkerhetsarbetet och hur sker kommunikationen och underhållet av använda system? Kommunens revisorer har i sin risk- och väsentlighetsanalys bedömt att den interna kontrollen kopplat till IT-strukturen är av väsentlighet att granska, i syfte att bedöma huruvida den interna kontrollen är tillräcklig. Detta inte minst ur ett strategiskt perspektiv. År 2010 genomfördes en betydande förändring av Haninge kommuns ITarbete då drift av IT-system lades ut på extern leverantör, i stället för att som tidigare drifta och underhålla IT-system inom den egna organisationen. Denna granskning följer upp aktuell status för kommunens IT-arbete på en övergripande nivå. 2.2. Syfte och revisionsfrågor Syftet med granskningen har varit att bedöma om den interna kontrollen kopplat till ITstrukturen är tydlig och uppfyller verksamheternas krav på ändamålsenlighet. Vidare bedöms huruvida roller och ansvar med avseende på IT-säkerhet är ändamålsenligt. Följande revisionsfrågor har utgjort utgångspunkt för granskningen: ü Hur säkerställs informationssäkerhet samt funktionalitet och säkerhet i de ITsystem som kommunen använder? ü Är ansvarsfördelningen med avseende på IT-säkerhet tydlig? ü Finns tydliga styrdokument (policy, riktlinjer etc.) och följs efterlevnaden av dessa upp regelbundet? ü Genomförs regelbundna riskanalyser med avseende på IT-området? I så fall, hur ofta? ü Görs uppföljningar av IT-kostnader? ü Hur arbetar kommunen med IT-konsulter, i synnerhet upphandling, styrning och uppföljning av IT-tjänster? Granskningen innebär inte att några säkerhets tester av systemen el. dylikt har genomförts. 4

2.3. Ansvarig nämnd Granskningen avser kommunstyrelsen, samt övriga nämnder. 2.4. Granskningens genomförande Granskningen har baserats på intervjuer samt dokumentstudier av för granskningen relevanta dokument. 3. Kommunens organisation med avseende på IT 3.1. Övergripande struktur avseende drift av IT inom kommunen Kommunens revisioner genomförde år 2010 en granskning, med specifik inriktning mot kommunens arbete kopplat till IT-och informationssäkerhet. Sedan den granskningens genomförde har kommunens arbete och organisation kring IT väsentligen förändrats, varför en uppföljning av just den granskningen inte är av omedelbar relevans. De iakttagelser och rekommendationer som den granskningen föranledde var inriktade på säkerhetsaspekter som behörighetshantering, fysiskt säkerhet av serverutrustning, kontinuitetsplanering etc. Hanteringen av dessa riskområden har i hög utsträckning förts över till den externa leverantör (Tieto) som numer hanterar driften av kommunens IT-plattform. Rutiner för kontroll av behörigheter till väsentliga system, rutiner för tagande av backuper av datamängder, avbrottshantering etc. ligger inom ramen för avtalet med den externa leverantören Tieto. De risker som revisionen identifierat i samband med denna granskning har mer att göra med kommunens strategiska arbete med IT samt kopplingen mellan IT och intern kontroll på en övergripande nivå. Haninge kommun har sedan år 2010 avtal med extern part (Tieto) som driftar kommunens IT-plattform samt därmed även större och väsentliga IT-system. Avtalet med Tieto har ingåtts (upphandlats) tillsammans med Nynäshamns kommun samt Södertälje kommun. Inom ramen för avtalet med den externa leverantören finns former för fysisk och logisk säkerhet. I samband med denna granskning har det framkommit information om att kommunen i perioder haft vissa problem med belastningsattacker mot kommunens IT-nätverk, främst inom utbildningsförvaltningen. Detta har inte inneburit att faktiska intrång har gjorts utan mer haft konsekvenser på kapaciteten och funktionaliteten på vissa områden. Kommunen har med anledning av detta vidtagit åtgärder för att komma tillrätta med dessa problem, vilket inneburit extra kostnader i viss utstreckning. 3.2. Pågående förändringsarbete med avseende på hantering av IT Sedan driften av kommunens IT lades ut på extern leverantör har kommunens egen ITorganisation varit inriktad på beställar- och kravställning samt uppföljning. Vidare har kommunens centrala IT-enhet arbetat med IT-relaterade projekt av olika slag. Enheten är uppdelad i ett beställarkontor samt ett programkontor vilka beskrivs i kommande avsnitt. Ny IT-chef tillträdde under början av hösten 2014. Den nytillträdda IT-chefen har en ambition att till den centrala IT-enheten rekrytera viss ny kompetens som kommunen inte tidigare har haft, detta i syfte att möjliggöra en mer strategisk inriktning på kommunens IT-arbete. Vidare pågår det inom enheten projekt med att arbeta fram verktyg för att på ett tydligare sätt inventera behov av IT-stöd inför framtiden samt möjliggöra tydligare former för uppföljning, bland att med avseende på IT relaterade 5

kostnader. I detta arbete ligger också att hitta en tydligare och mer transparent finansieringsmodell inom kommunen. Med detta avses en modell för fördelning av kostnader mellan verksamheterna där den huvudsakliga fördelningsfaktorn ska utgöras av faktiskt kapacitets- och tjänsteutnyttjande. 4. Bedömning utifrån revisionsfrågorna I de följande avsnitten besvaras revisionsfrågorna samt att bedömningar lämnas. 4.1. Hur säkerställs informationssäkerhet samt funktionalitet och säkerhet i de väsentliga IT-system som kommunen använder? Driften av kommunens väsentliga IT-system sker av extern part sedan år 2010. Hårdvara, d.v.s. datorer och arbetsstationer, leasas av kommunen. Ett bakomliggande syfte med att låta extern part drifta kommunens IT-plattform har varit att minska risker för driftsproblem samt andra risker kopplade till IT-säkerhet. Den externa leverantör som kommunen, tillsammans med Nynäshamns kommun och Södertälje kommun, har ingått avtal med bedöms ha både kapacitet och specifik kompetens inom väsentliga områden och kan leverera efterfrågade tjänster på ett mer kostnadseffektivt sätt än vad som skulle vara möjligt om kommunen driftade all IT på egen hand. Det leveransavtal som ingåtts med den externa leverantören omfattar både drift och informationssäkerhet, bland annat rörande behörighetskontroller, tagande av backuper etc. Ytterligare en viktig aspekt på att låta en extern part drifta kommunens IT är att inför framtiden säkerställa tillgång till teknisk utveckling där kostnader kan delas med flera andra kommuner, med likartade behov. Kommunens IT-enhet har regelbundna möten med leverantören i syfte att säkerställa att problem och synpunkter fångas upp på ett tidigt stadium och att relevanta åtgärder sätts i vid problem. Vår övergripande bedömning är att det finns förutsättningar för en ändamålsenlig driftssäkerhet med avseende på kommunens IT-plattform. Detta med utgångspunkt från det driftsavtal kommunen har med extern leverantör. Upplägget med att låta extern part drifta kommunens IT-plattform skapar förutsättningar för att kommunen kan koncentrera sina resurser på utvecklingsprojekt, kravställning och uppföljning. Under senare tid har det genomförts projekt tillsammans med den externa leverantören för att fysiskt föra över serverkapacitet från kommunen till extern part. Också det ett sätt att utveckla och säkerställa en kostnadseffektiv drift. Det noteras att det inom kommunen pågår flera olika utvecklingsprojekt inom IT-området, bland annat när det gäller att inventera och sammanställa IT-relaterade investeringsbehov inför framtiden. Revisionen ser positivt på denna typ av utvecklingsprojekt och ämnar följa upp dessa framöver, då dessa är av strategisk betydelse i kommunens verksamhetsutveckling, inom flera områden. 4.2. Är ansvarsfördelningen för kommunens IT-hantering tydlig? Inom kommunstyrelseförvaltningen finns en särskild IT-enhet BIT (Beställarenehet IT), vilken främst utgör en beställarfunktion när det gäller drift och underhåll av väsentliga IT-system. Vidare sker inom enheten uppföljning och kontroll av erhållna tjänster samt bedrivande av IT-relaterade projekt med strategisk inriktning. IT-enheten sorterar organisatoriskt under kommunstyrelseförvaltningen med personaldirektören som har 6

det övergripande ansvaret. Den centrala IT-enheten leds av en IT-chef, som tillträdde under hösten 2014, som rapporter till kommunens personaldirektör. IT-enheten är uppdelad i ett så kallat driftskontor, med det pratiska ansvaret för kravställning och uppföljning av driftsavtalet med den externa leverantören, samt ett programkontor med inriktning på processer, bedrivande av utvecklingsprojekt etc. IT-enheten har totalt ca 13 anställda, inklusive IT-chefen. Inom enheten råder en tydlig roll- och ansvarsfördelning. Det noteras således att det i kommundirektörens ledningsgrupp inte finns specifik ITkompetens representerad. Ur ett strategiskt perspektiv kan detta utgöra en risk då IT, på ett tydligt sätt påverkar och genomsyrar alla de olika verksamheter som bedrivs inom kommunen, om än på olika sätt. I syfte att möjliggöra ett tydligare utvecklingsarbete med avseende på IT har det beslutats inom kommunen att tillsätta tjänster som IT-samordnare inom respektive fackförvaltning. Syftet är att skapa tydligare och effektivare kontaktytor med respektive verksamhet samt därigenom möjliggöra strategiskt utvecklingsarbete. Rekryteringar till dessa tjänster har påbörjats, i vart fall när det gäller utbildningsförvaltningen. Vår bedömning är att det är positivt att IT-samordnare tillsätts samt att dessa får en tydlig roll som en samverkande länk mellan verksamheterna och den centrala IT-funktionen. Detta möjliggör att verksamheternas behov fångas upp på ett tydligare sätt samt att uppföljning och kontroll effektiviseras. När det gäller roller och ansvar är det av väsentlighet att notera att det för väsentliga IT-system finns systemägare utsedda. Vår granskning har dock visat att innebörden av det faktiska systemägarskapet inte alltid utövas på ett tydligt sätt vilket utgör en brist. Vår bedömning är således att systemägarskapet för använda system bör tydliggöras, vilket är av betydelse ur ett internt kontrollperspektiv. Vidare är det revisionens bedömning att det bör övervägas att ytterligare lyfta IT-områdets strategiska betydelse genom att ha specifik IT-kompetens representerad i den högsta kommunledningen. 4.3. Finns tydliga styrdokument (policy, riktlinjer etc.) och följs efterlevnaden av dessa upp regelbundet? Inom kommunstyrelseförvaltningen har det utarbetats styrdokument med avseende på IT. De styrande dokumenteten inom IT-området utgörs av IT-strategi samt informationssäkerhetspolicy. Vid tidpunkten för denna granskning var styrdokumenten inte slutligt fasställda, varför vi inte har tagit del av dessa. I kommunstyrelsens plan för intern kontroll berörs IT-området endast kortfattat. Vad gäller den kontinuerliga driften av kommunens IT utgör avtalet, med dess tillhörande bilagor, med Tieto det huvudsakliga styrdokumentet. Då huvudavtalet löper under en relativt lång tidsperiod, åren 2010 till 2017, sker ett visst utvecklingsarbete kring avtalet och hur det ska anpassas på ett tydligare sätt till just Haninge kommuns behöv. För närvarande sker utveckling av en så kallad tjänstekatalog som Haninge kommun kan avropa från och hur denna katalog ska vara prissatt. Syftet med att övergå till en modell med avrop av ett antal definierade tjänster är att få ett bättre grepp om det faktiska behovet ute i verksamheterna och därigenom synliggöra resursåtgång och kostnader på ett tydligare sätt. Inom IT-enheten finns det styrdokument som handlingsplaner, nedbrutna mål etc. Vår bedömning är att det är av väsentlig betydelse att kommunstyrelsen prioriterar arbetet med att fastställa och förankra en tydlig och kommunövergripande IT-strategi samt därtill hörande informationssäkerhetspolicy. Detta är av vikt då IT i allt större 7

utsträckning utgör en strategisk del inom de verksamheter kommunens bedriver. Vidare utgör tydliga styrdokument en viktig del när det gäller att tydliggöra roller och ansvar samt åtagande ur ett internt kontrollperspektiv. 4.4. Genomförs regelbundna riskanalyser av IT-systemen? I så fall, hur ofta? Inom Haninge kommun upprättas inga specifika eller övergripande riskanalyser med avseende på IT och informationssäkerhet. Dock noteras att IT finns med i kommunstyrelsens plan för intern kontoroll där framför allt driftssäkerhet samt säkring av datamängder (backup) finns med som kontrollmoment under året. Skrivningarna i planen för intern kontroll samt därtill hörande risk- och väsentlighetsanalys är av en mycket kortfattad och övergripande karaktär. När det gäller risker kopplat till den dagliga driften av kommunens IT sker riskanalyser inom ramen för avtalet med den externa leverantören. I viss utsträckning dokumenteras detta. I intervjuer har framkommit att risker, av olika slag, diskuteras på ett regelbundet sätt inom den centrala IT-enheten. 4.5. Görs uppföljningar av IT-kostnader? Inom ramen för kommunens ekonomistyrning sker uppföljning av verksamhetskostnader av olika slag och på olika nivåer, också med avseende på IT. Kommunövergripande och gemensamma kostnader allokeras via fördelningsnycklar, dock inte med utgångpunkt från faktiskt kapacitetsutnyttjande vilket vore önskvärt. Som nämnts tidigare pågår ett arbete med att ta fram en prissatt tjänstekatalog. Detta i syfte att tydligöra faktiska IT-kostnader för kommunens olika verksamheter samt hur dessa ska fördelas. I samband med mer djupgående kostnadsanalyser har det visat sig att det föreligger svårigheter att fånga och identifiera samtliga kostnader som är relaterade till IT. I viss utstreckning har förvaltningar engagerat extern IT-kompetens av olika slag utan att dessa nödvändigtvis klassas som IT-kostnader. Innebörden är att det är svårt att bedöma i vilken omfattning kommunens IT-kostnader ligger på en normal eller förväntad nivå i jämförelse med andra kommuner. Svårigheter att identifiera och mäta samtliga IT-relaterade kostader har föranlett ITenheten att initiera projekt för att på ett tydligare sätt möjliggöra en ändamålsenlig uppföljning av IT-kostnader. Detta är inte minst viktigt ur ett effektivitetsperspektiv. Projektet är pågående i samband med denna granskning. Vår bedömning är att det är positivt att det finns en vilja och ambition att hitta verktyg för att identifiera och synliggöra IT-kostnader på ett sätt som inte är möjligt för närvarande. När arbetet är klart finns förutsättningar för en mer ändamålsenlig ekonomistyrning. 4.6. Hur arbetar kommunen med IT-konsulter, i synnerhet upphandling, styrning och uppföljning av IT-tjänster? Kommunens huvudsakliga avtal avseende IT-tjänster utgörs av avtalet med Tieto som löper fram till och med år 2017. Avtalet rör drift av kommunens IT-plattform, inklusive telefoni. Utöver detta finns ramavtal inom IT-området avseende vissa specifika tjänster. Det har framkommit i granskningen att förvaltningarna i olika omfattning och i olika situationer använder sig av IT-konsulter. Detta sker emellanåt utan samordning med kommunens centrala IT-enhet. Modellen med att tillsätta IT-samordnare i respektive nämnd är ett sätt att skapa förutsättningar för en bättre samordning och kontroll över de IT-tjänster som köps in. Vår bedömning är att det är positivt att kommunen genomför ett förbättringsarbete inom detta område. 8

5. Slutsatser och rekommendationer Vår övergripande bedömning är att det pågår ett positivt och viktigt förändringsarbete inom kommunen med avseende på hantering av IT. De noteringar och rekommendationer som tidigare granskningar renderade i har beaktats på ett rimligt sätt i det avtal som ingåtts med Tieto. Kommunens utmaningar ligger främst i att kunna anpassa organisation och kapacitet när det gäller IT till verksamheternas uppdrag och mål, i en kommun med en kraftig expansionstakt. Med anledning av detta är det väsentligt att kommunen tydliggör den strategiska inriktning när det gäller IT-området samt kopplingen till det övergripande arbetet med intern kontroll. Detta bör vara dokumenterat på ett tydligt sätt i fastställda riktlinjer och styrdokument. Vår bedömning är att det föreligger en tydlig fördelning av roller- och ansvar på en övergripande nivå. Systemägare finns utsedda för relevanta system, men detta ansvar är inte i samtliga fall förankrat fullt ut i organisationen. Vidare är det vår bedömning att det strategiska arbetet med IT är av sådan betydelse att detta på ett tydligare sätt bör återspeglas i kommunen ledningsorganisation. I syfte att ytterligare stärka den interna kontrollen kopplat till IT-området lämnar vi följande rekommendationer till kommunen att beakta: Rekommendationer ü Kommunen bör tydliggöra hur IT ska integreras på ett ändamålsenligt sätt i kommunens övergripande struktur för intern kontroll. ü Kommunen rekommenderas att fastställa och tydliggöra en kommunövergripande IT-strategi samt tydliga riktlinjer när det gäller informationssäkerhet. ü Tydliggör roller och ansvar mellan den centrala IT-funktionen och respektive systemägare ute i verksamheterna. ü Kommunen bör överväga att tydliggöra den strategika tyngden när det gäller hantering av IT-området samt hur detta ska återspeglas i kommunens ledningsstruktur. Stockholm den 6 mars 2015 Johan Perols Certifierad kommunal revisor 9

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss