Övergripande granskning av ITverksamheten i Härryda kommun Våren 2011
INNEHÅLLSFÖRTECKNING 1. Inledning... 3 2. Bakgrund... 3 3. Metod... 4 3.1 Representanter... 5 4. Övergripande sammanfattning... 6 5. Sammanställning och prioritering... 6 5.1 Sammanställning av iakttagelser... 6 5.2 Prioriteringsskala... 7 5.3 Revisionsfrågor - sammanfattning... 8 5.4 Övergripande sammanställning av resultat från granskning... 10 6. Detaljerade iakttagelser... 11 6.1 Strategi... 11 6.2 Leverans... 14 6.3 Teknologi... 17 6.4 Personal... 19 6.5 System och applikationer... 21 2
1.1 1. Inledning PwC har på uppdrag av de förtroendevalda revisorerna för Härrydas kommun genomfört en övergripande granskning av kommunens IT-verksamhet. Granskningen har omfattat områden som IT-strategi, IT-leverans, Teknologi, Personal, System och Applikationer för att stödja den övergripande revisionsfrågan. Granskningen har baserats på ett antal intervjuer med personer inom olika delar av Härrydas kommun. Intervjuerna har utförts av följande personer inom PwC: Andreas Crusell Patrik Åkerblad Granskningen har resulterat i denna skriftliga rapport där ett antal områden där det finns utrymme till förbättringar, alternativt fördjupad analys, presenteras. 2. Bakgrund Generellt sett blir kommuner alltmer beroende av sina informationssystem och IT utgör en viktig komponent för fungerande och effektiva verksamhetsprocesser. En ändamålsenlig organisation och styrning av IT-resurser med gemensamma processer, tydliga roller och etablerade beslutsvägar har blivit en framgångsfaktor i många verksamheter. IT kommer samtidigt i ökad utsträckning att bli en strategisk resurs och möjliggörare för verksamhetsutveckling. Detta ställer krav på en väl fungerande IT-verksamhet anpassad efter affärsverksamhetens mål. Undersökningar bland kommuner visar att gjorda IT-investeringar inte utnyttjas optimalt och att IT och verksamheten ofta inte samarbetar effektivt för att på bästa sätt uppnå målen. Vid införande av E-tjänster och E-förvaltning är det exempelvis av största vikt att IT-styrningen fungerar och att det finns styrande dokument och policies som anger inriktning och arbetssätt. Det är vidare viktigt att gränssnittet och rollerna mellan IT och verksamheten är tydlig och att kommunikationen fungerar effektivt. I sammanhanget kan konstateras att kommuner ofta har komplexa ITmiljöer och där ett helhetsperspektiv av IT-frågor ofta saknas. Därutöver är svag styrning av IT-processerna något som ofta resulterar i att leveransen till verksamheten blir lidande. Mot bakgrund av detta har de förtroendevalda revisorerna för Härrydas kommun identifierat ett behov av att se över hur IT fungerar i Härryda kommun och vilka förbättringsmöjligheter det eventuellt finns inom området IT-styrning inom kommunen. Övergripande revisionsfråga är: Är IT-styrningen effektiv och ändamålsenlig? 3
Revisionsfrågor som kommer belysas är: - Hur säkerställs att IT inom kommunen styrs på ett ändamålsenligt sätt och att nivån på IT-säkerheten inom förvaltningarna ligger på en lämplig nivå? (Finns exempelvis en IT-strategi framtagen och kommunicerad som stödjer verksamheten och som anger hur IT-verksamheten inom kommunen skall hanteras och styras?) - Säkerställer den aktuella IT-styrningen att de risker som föreligger med ITverksamheten belyses på en tillräcklig nivå? - Är IT-verksamheten organiserad, strukturerad och kontrollerad (inkl mätning och uppföljning) för att ge en optimal IT-leverans? - Är de övergripande IT-ekonomiprocesserna ändamålsenliga? - Utnyttjas kommunens resurser optimalt? (Förekommer exempelvis samarbete avseende IT-drift, samarbete vid backuphantering och förvaring av backuper) - Finns tillräckliga insikter inom organisationen vad gäller hur IT påverkar verksamheten och hur beroende verksamheten är av en väl fungerande IT-miljö? 3. Metod Under granskningen har ett verktyg (ITM) använts som bygger på en databas som innehåller jämförbar (s.k. good practice och benchmark) och relevant information för generell IT-verksamhet inom områdena strategi, IT-leverans, teknologi, personal samt system och applikationer (se tabell nedan). Varje område är uppdelat på ett antal delområden (totalt 22 stycken) som i sin tur innehåller ett antal frågor. Område Strategi (6.1) Leverans (6.2) Teknologi (6.3) Personal (6.4) System och applikationer (6.5) Utdrag ur innehåll Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? 4
Informationsinsamlingen har utförts genom intervjuer med personal inom kommunen samt genomläsning av relevant dokumentation som kommunen har tillhandahållit. Den granskade dokumentationen har främst varit relaterad till styrande dokument inom IT och informationssäkerhet. Baserat på denna information och genom intervjuer utförda under 5 dagar har respektive delområde bedömts utifrån en femgradig skala. I bedömningen har förutsättningar och omständigheter, specifika för kommunen, vägts in i vår sammanfattande bedömning och slutsats. Sammantaget har 16 personer intervjuats. Urvalet har varit strategiska IT-personer från kommunledningen, ansvarig och operativ personal för IT-frågor inom IT-funktionen samt ett antal representanter från olika sektorer inom kommunen. 3.1 Representanter Nedanstående representanter inom kommunen har deltagit vid intervjuer och faktaavstämning. Namn Förvaltning/Enhet Funktion/Roll Karina Djurner Kommunledning Kommundirektör Claes-Göran Frisell Personal Personalchef Ingela Andersson Skallberg Ekonomi Administrativ chef samt systemförvaltare Anna Connel Kommunkansli Kommunarkivarie Leif Bengtsson Teknik och försörjningsstöd Sektorchef Lars Jönsson Teknik och försörjningsstöd Administrativ chef Torbjörn Stefansson Teknik- och försörjningsstöd IT-strateg Jonas Lundqvist Socialtjänsten Administrativ chef Yukie Adachi Socialtjänsten Systemförvaltare Ingibjörg Pálsdóttir Utbildning och Kultur Administrativ chef Utbildning och Kultur Verksamhetschef för grundskola Olof Olsson Lotta Kjällström Samhällsbyggnad Administrativ chef Ingemar Dahlqvist Hulebäcksgymnasiet Intendent Alec Mägi Särnholm IT-funktionen IT-chef Jonny Ekström IT-funktionen IT-driftschef Yngve Larsson IT-funktionen Projektledare 5
4. Övergripande sammanfattning Under våren 2011 har PwC på uppdrag av kommunrevisorerna i Härrydas kommun genomfört en granskning av IT-verksamheten inom kommunen. Granskningen har genomförts genom ett antal intervjuer med personer inom olika delar av Härrydas kommun under april 2011. Syftet med granskningen var att på en övergripande nivå kartlägga hur IT-verksamheten och IT-styrningen inom kommunen fungerar, för att således identifiera områden där förbättringspotential och eventuella effektiviseringsmöjligheter finns. Granskningen har utmynnat i ett antal identifierade områden där vi anser att Härrydas kommun bör förbättra IT-styrningen och ITverksamheten. Vår övergripande genomgång skall ej ses som en fullständig genomlysning av IT-verksamheten varför det kan finnas områden med brister som ej identifierats. Granskningen har utgått från frågan Är IT-styrningen effektiv och ändamålsenlig? Härryda kommun har en relativt hög mognad avseende sin IT-styrning och förståelse för vad som bör göras för att förbättra den. Kommunen har en god organisation kring IT men det finns förbättringspotential i hur väl forum och enheter fungerar. Vidare hanteras inte alla risker inom IT fullt ut då riskanalyser för de mer kritiska verksamhetssystemen ej har färdigställts ännu. Vi vill även ta tillfället i akt och tacka Härrydas kommuns ledning samt personal i Härryda vilka medverkat i granskningen, för ett vänligt bemötande och gott samarbete. 5. Sammanställning och prioritering 5.1 Sammanställning av iakttagelser Granskningen har även mynnat ut i ett antal detaljerade observationer med tillhörande rekommendationer samt prioritetsförslag (hög, medel och låg). Tabell 1 nedan visar dessa observationer i sammanställd form sorterade i prioritetsordning. Observationer inom en prioritetsklass är dock inte inbördes rangordnade. Som tidigare nämnts, tar vissa åtgärder längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. Ref Observation Prioritet Område 6.1.1 Avsaknad av IT-strategi och uppdaterad Strategi Informationssäkerhetspolicy 6.2.1 Roller och ansvar inom IT-organisationen Leverans 6.2.2 Avsaknad av riskanalys och avbrottsplan Leverans 6.1.2 Förbättring av IT-planeringsgruppsmöte Strategi 6.3.1 Otillräcklig internetkommunikation för Hulebäck Teknologi 6
6.5.1 Risk för överlappning av applikationer System & Applikationer 6.2.3 Avsaknad av kommungemensam Leverans projektmodell 6.2.4 Avsaknad av lämpliga nyckeltal för att mäta Leverans IT-leveransen 6.4.1 Varierande IT-mognad bland personal i Personal verksamheten 6.5.2 Avsaknad av uppdaterade lista systemförvaltare samt systemkarta System & Applikationer 5.2 Prioriteringsskala Resultatet från granskningen presenteras översiktligt under granskningsområde 1-5. Respektive observation har fått en prioritet enligt skalan Låg, Medel respektive Hög enligt tabellen nedan. Prioritetslista Prioritet Hög Medel Låg Hög Prioritet betyder att åtgärden bör initieras relativt omgående. Det kan vara områden där det föreligger en omedelbar risk för verksamhetsstörningar eller oönskade kostnader. Medel Prioritet betyder att åtgärd bör genomföras på medellång sikt, t.ex. inom ett år, men där risken för omedelbara verksamhetsstörningar kan anses vara mer begränsad. Låg Prioritet innebär att området bör bevakas och åtgärd initieras på längre sikt. Detta kan vara områden med en låg risk för verksamhetsstörningar eller där åtgärden kan betraktas som en generell underhållsfråga. Vissa åtgärder tar längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. 7
5.3 Revisionsfrågor - sammanfattning 1. Hur säkerställs att IT inom kommunen styrs på ett ändamålsenligt sätt och att nivån på IT-säkerheten inom förvaltningarna ligger på en lämplig nivå? (Finns exempelvis en IT-strategi framtagen och kommunicerad som stödjer verksamheten och som anger hur ITverksamheten inom kommunen skall hanteras och styras?) Det finns idag en e-strategi framtagen dock saknas en IT-strategi med tillhörande aktivitetsplan som skapar bättre förståelse för vart kommunen är på väg inom ITområdet. Detta dokument bör på en övergripande nivå sammanfatta de behov som verksamheten och IT-funktionen tillsammans ser på en 3-5 års sikt. 2. Säkerställer den aktuella IT-styrningen att de risker som föreligger med IT-verksamheten belyses på en tillräcklig nivå? Kommunen har startat ett arbete inom förvaltningsgruppen för att skapa riskanalyser inom respektive kritiskt verksamhetssystem, dock har detta arbete ej färdigställts ännu. Detta arbete mynnar ut i en övergripande riskanalys för hela kommunen och blir en grund för framtagande av en avbrottsplan och vilken nivå av säkerhet som är bäst lämpad sett utifrån kraven från verksamheten. 3. Är IT-verksamheten organiserad, strukturerad och kontrollerad (inkl mätning och uppföljning) för att ge en optimal IT-leverans? Det finns idag inga specifika nyckeltal nedtecknade för att följa upp leveransen från t.ex. IT-supporten. Kommunen behöver se över vilka nyckeltal som är viktigast för att mäta leverans och kvalitet i befintliga processer och funktioner. Kommunen har ett flertalet olika roller och grupper med IT-anknytning som visar på en god förståelse avseende samverkan mellan IT och verksamheten. 4. Är de övergripande IT-ekonomiprocesserna ändamålsenliga? Vi har ej kunnat identifiera några avvikelser inom detta område utan ITekonomiprocesserna anses vara ändamålsenliga. 5. Utnyttjas kommunens resurser optimalt? (förekommer exempelvis samarbete avseende IT-drift, samarbete vid backuphantering och förvaring av backuper) Vi anser att kommunen har en drift inkluderande backuphantering som säkerställer att tillgängligheten till data är på en god nivå. Helpdesk funktionen anses av de flesta användare fungera på ett bra sätt. 8
6. Finns tillräckliga insikter inom organisationen vad gäller hur IT påverkar verksamheten och hur beroende verksamheten är av en väl fungerande IT-miljö? Vår uppfattning är att IT-funktionen har en mycket god förståelse för hur verksamheten kan använda och till viss del även utveckla sina verksamhetsprocesser med hjälp av IT. Verksamheten har viss förståelse för hur IT kan underlätta i deras arbete men behöver stöd för att utnyttja detta fullt ut. 9
5.4 Övergripande sammanställning av resultat från granskning Bilden nedan visar översiktligt vilken mognadsgrad som varje delområde har baserat på vår granskningsmodell. En stapel som är lång från mittpunkten sett har alltså en hög mognadsgrad. I avsnitt 5 återfinns även en bild för varje underområde med tillhörande iakttagelser och rekommendationer. Enligt vår uppfattning kan införandet av våra rekommendationer i avsnitt 6 leda till ökad effektivitet avseende IT som verksamhetsstöd samt ge en tydligare struktur och transparens mellan IT-funktionen och övriga delar av Härrydas kommun. För att säkerställa att nödvändiga förändringar får önskvärd effekt och att resultatet medför de förbättringar de syftar till krävs en omsorgsfull planering och tydlig styrning. Dels måste olika aktiviteter införas i rätt ordning och dels är en nyanserad samt tydlig kommunikationsplan en förutsättning. När dessa åtgärder vidtagits menar vi att Härrydas kommun har goda förutsättningar att uppnå ett effektivt 10
utnyttjande av IT och att IT kan utgöra den strategiska resurs som verksamheten behöver för att möta befintliga och framtida utmaningar. 6. Detaljerade iakttagelser Bilderna nedan visar översiktligt vilken mognadsgrad som varje delområde har. En stapel som är lång från mittpunkten sett har alltså en hög mognadsgrad. Nedan återfinns det en bild för varje underområde med tillhörande iakttagelser och rekommendationer. 6.1 Strategi Inom området Strategi har följande iakttagelser gjorts. 11
Ref. 6.1.1 Prioritet Avsaknad av IT-strategi och uppdaterad Informationssäkerhetspolicy (Business Direction, Business Control of IS, IT-strategy and Policy) Vid granskningen noterades det att det finns en e-strategi framtagen från 2010-06-09 som beskriver kommunens viljeriktning avseende e- förvaltning. Härryda kommun saknar dock en övergripande IT-strategi varför kommunen saknar förståelse för den övergripande strategin och mål med IT. Därutöver har inte nuvarande informationssäkerhetspolicy reviderats sedan 2008 vilket innebär att exempelvis IT-strategens roll ej finns definierad i policyn. Avsaknad av aktuella styrande dokument ökar risken för att IT inte används på ett ändamålsenligt, säkert och effektivt sätt. Detta resulterar i ett icke optimalt resursutnyttjande samt ökade kostnader. Rekommendation Vi rekommenderar att Härryda kommun tar fram, kommunicerar och förankrar styrande dokument. Detta arbete skall inkludera framtagande av IT-strategi med tillhörande handlingsplan som mer i detalj beskriver vad som skall utföras de närmsta åren. Vidare bör uppdatering av nuvarande informationssäkerhetspolicy med tillhörande underliggande dokument göras. Framtagen policy, strategi och aktivitetsplan bör kommuniceras och följas upp i alla verksamheter. Kommunen bör tydliggöra ägarskapet för de olika styrande dokumenten samt när dessa skall uppdateras. 12
Ref. 6.1.2 Prioritet Förbättring av IT-planeringsgruppsmöten (Business Control of IS, IT planning, Resourcing and Budgeting) IT-planeringsgruppen består av representanter från respektive sektor samt IT-funktionen där behov kring IT i kommunen diskuteras. ITfunktionen upplevs av verksamheten som serviceinriktade och tillmötesgående i dessa möten och mötena verkar generellt fungera tillfredsställande. Vid vår granskning har vi dock noterat att mötena ej genomförts på regelbunden basis (varannan månad) samt att verksamheten upplever att IT-funktionen presenterar sina tjänster snarare än att gruppen diskuterar strategiska IT-frågor och verksamhetens behov. Därtill råder det en viss oklarhet kring vilket mandat IT-planeringsgruppen har. Rekommendation Vi rekommenderar att kommunen ser över strukturen i dessa möten och hur behov från verksamheten och information från IT-funktionen skall förmedlas för att säkerställa att dessa möten blir effektiva och fyller avsedd funktion. Mötena blir även mer effektiva om det finns en underliggande strategi för hur de skall använda IT inom respektive verksamhet (se Avsaknad av IT-strategi). Vi rekommenderar även att IT-planeringsgruppen säkerställer att styrande dokument efterlevs. 13
6.2 Leverans Inom området Leverans har följande iakttagelser gjorts. 14
Ref 6.2.1 Prioritet Roller och ansvar inom IT-organisationen (Roles and Responsibilities) IT-organisationen för Härrydas kommun finns sammanfattad i en Informationssäkerhetspolicy. Dock är denna ej uppdaterad avseende roller inom hela IT-organisationen inklusive IT-strategens roll. Under intervjuerna har det framkommit att det är otydligt vilka ansvar och roller som finns inom IT-verksamheten och vad dessa förväntas leverera och ansvara för. Exempelvis har vi noterat att verksamheten upplever otydlighet kring IT-strategens roll i förhållande till IT-chefens roll. Utan en IT-organisation med tydliga ansvar och roller ökar risken för att ITleveransen inte utförs, inte utförs på rätt sätt, i rätt tid eller av rätt person. Rekommendation Vi rekommenderar att Härryda kommun tydliggör ansvarsområden och roller, dokumenterar samt kommunicerar dessa för att säkerställa och optimera IT-leveransen. Ref. 6.2.2 Prioritet Avsaknad av riskanalys och avbrottsplan (Security) Kommunen har ej färdigställt varken riskanalys eller avbrottsplan, dock är arbete pågående som en del av det arbete som förvaltningsgruppen utför att skapa säkerhetsanalyser per system. Utifrån denna analys skapas grunden för att förstå vilka risker och krav som verksamheten skall ställa avseende backuphantering, upptider, skydd av information osv. Avsaknad av riskanalys och avbrottsplan ökar risken för att kritiska system är ur drift längre än nödvändigt vid ett eventuellt avbrott. Rekommendation Härryda kommun bör utföra en risk- och sårbarhetsanalys i syfte att identifiera risker i IT-verksamheten. Denna analys bör sedan vara en del i framtagandet av en avbrottsplan för IT och för verksamheten. Avbrottsplanen skall dokumenteras, uppdateras löpande av behörig personal samt även testas löpande för att säkerställa funktionalitet. Berörda personer bör utbildas i framtagna rutiner. 15
Ref. 6.2.3 Prioritet Avsaknad av kommungemensam projektmodell (Project Management, Development & Implementation) Under intervjuerna har det framkommit att kommunen saknar en enhetlig projektmodell för genomförandet av IT-relaterade projekt. Utan en kommunicerad och förankrad projektmodell som tar hänsyn till viktiga inblandade intressenter är risken stor att lösningar t.ex. inte stödjer en enhetlig IT-arkitektur med ökade kostnader och driftsproblem till följd, samt att projekt initieras på bristfälliga grunder på grund av avsaknaden av en gemensam prioriterings och styrningsmodell. Rekommendation Härryda kommun bör implementera en allmänt vedertagen projektmodell för förbättrad projekthantering och kontroll. Detta för att projekt generellt skall bedrivas på ett så effektivt sätt som möjligt men även för att formalisera och kommunicera vilken roll IT har i de fall verksamheten bedriver projekt där IT berörs och vice versa. Ref 6.2.4 Prioritet Avsaknad av lämpliga nyckeltal för att mäta IT-leveransen (Service Delivery, Quality Management) Vid vår granskning har vi noterat att anställda inom Härryda Kommun årligen erbjuds möjligheten att utvärdera IT-funktionens leverans genom en webbaserad enkätundersökning. Dock har det även framkommit att det i dagsläget saknas lämpliga nyckeltal för att mäta och följa upp vad IT levererar (t ex tillgänglighet, leveranstider, supporttider, nätverkskapacitet, kostnader för IT etc.). Därtill saknas tydliga krav från verksamheten kring vad de förväntar sig av IT. En av riskerna med avsaknad av lämpliga nyckeltal är att det inte ger en klar målbild för vad IT ska leva upp till. Det finns då en risk att IT gör felprioriteringar samt att ITs målbild inte är överensstämmande med verksamhetens förväntningar på IT-leveransen vilket leder till sämre upplevd kvalitet. Rekommendation Lämpliga nyckeltal (t.ex. kostnader, tillgänglighet, leveranstider, supporttider, nätverkskapacitet) som mäter IT-verksamheten med utgångspunkt från de övergripande målen bör tas fram i samråd med verksamheten. Framtagna nyckeltal skall vara specifika och mätbara och skall följas upp för att mäta IT-leveransen. 16
6.3 Teknologi Inom området Teknologi har följande iakttagelser gjorts. 17
Ref 6.3.1 Prioritet Otillräcklig internetkommunikation för Hulebäck (Communications Infrastructure) Vid vår granskning har vi noterat att Hulebäcksgymnasiet upplever att deras internetkapacitet inte är tillräcklig vilket ibland leder till att skoldatorerna inte kan nyttjas när det inte får åtkomst till Internet. Vid diskussioner med IT-funktionen visar det sig att detta beror på otillräcklig kapacitet i skolans brandvägg. Enligt IT-funktionen har arbete påbörjats för att åtgärda problemet. Rekommendation Vi rekommenderar att kommunen snarast ser över de investeringar som behövs göras för att åtgärda problemet. 18
6.4 Personal Inom området Personal har följande iakttagelser gjorts. 19
Ref 6.4.1 Prioritet Varierande IT-mognad bland personal i verksamheten (User People) Vid intervjuerna har det framkommit att IT-mognaden bland personalen i kommunen är blandad. Detta bidrar till att utnyttjande av IT inte sker på ett effektivt sätt. Vi har även noterat att anställda inom kommunen erbjuds nybörjarkurser inom IT men att det har varit förhållandevis få personer som har deltagit vid dessa. Rekommendation Kommunen bör se över hur de på ett än bättre sätt kan förbättra ITmognaden inom kommunen. Detta för att kommunens personal skall erhålla en ökad förståelse inom IT-området men även för att de på ett bättre sätt ska kunna dra nytta av de investeringar som gjorts och pågår inom IT. Ovanstående rekommendation bör dels underlätta det dagliga arbetet för personer ute i verksamheten men även för IT när det gäller kommunikationen mellan verksamheten och IT-funktionen avseende beställarkompetens. 20
6.5 System och applikationer Inom området System och Applikationer har följande iakttagelser gjorts. 21
Ref 6.5.1 Prioritet Risk för överlappning av applikationer (Applications, Unsatisfied Demands) Under vår granskning så har vi identifierat att det finns en stor mängd system och mindre applikationer inom kommunen. Vid intervjuerna har det framkommit att man från verksamheten efterfrågar en strukturerad ansats eller strategi över vilka system som skall användas inom kommunen för att på så vis minska risken för överlappning av applikationer. Vår förståelse är att det således kan finnas en viss överlappning av applikationer eller att det finns applikationer som i dagsläget inte används på ett optimalt sätt. Rekommendation Kommunen rekommenderas att gå igenom applikationer och hur de används idag för att om möjligt kunna använda dessa på ett mer effektivt sätt samt minska risken för eventuell överlappning och risk för onödiga licenskostnader. Ref 6.5.2 Prioritet Avsaknad av uppdaterade lista systemförvaltare samt systemkarta (Applications) Samtliga system och applikationer inom kommunen finns dokumenterade i ett Excelark för respektive Sektor där även systemägare och systemförvaltare är nedtecknat. Dock noterade vi att flera av dessa förteckningar inte är uppdaterade sedan 2009 varpå det finns en risk att de ej är uppdaterade med aktuella personer. Vidare bör en grafisk systemkarta skapas som visar kopplingen mellan system och applikationer för att lätt kunna visa på integrationerna mellan systemen. Rekommendation Vår rekommendation är att kommunen upprättar en grafisk systemöversikt. Denna bör utöver en generell beskrivning av IT-miljön innefatta nätverkskarta, hårdvara, mjukvara samt övrig relevant information som krävs för att få en god förståelse för befintlig struktur. Vidare bör även roller avseende respektive system (t.ex. systemförvaltare) uppdateras för att säkerställa att informationen är aktuell. 22