Sveriges riksbank. Fullmäktiges revisionsfunktion Rapport Utvärdering av outsourcing av IT-drift KPMG AB

Relevanta dokument
Sveriges riksbank. Fullmäktiges revisionsfunktion Slutrapport Utvärdering av outsourcing av IT-drift KPMG AB

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG PROTOKOLLSBILAGA G Fullmäktiges protokoll , 10

Information om pågående granskning Outsourcing IT

Sveriges riksbank. Fullmäktiges revisionsfunktion Rapport Sedelutbytet KPMG AB

Guld- och valutareservsförvaltningen

Förstudie: Övergripande granskning av ITdriften

TJÄNSTEBESKRIVNING SERVICE MANAGEMENT

Revisionsrapport Översiktlig granskning ledningssystem för systematisk kvalitetsarbete


Mariestads kommun. Övergripande granskning Barn- och utbildningsnämnden Rapport. KPMG AB Antal sidor: 3

5 VAD RAMVERKET BETYDER FÖR DIG SOM ANBUDSGIVARE

Samordningsförbundet Norra Dalsland. Revisionsrapport Styrelsens ansvar KPMG AB. Antal sidor: 6. FörvrevRapport08.doc

Svar på revisionsrapport om kommunens IT-strategi

Revisionsrapport: Översiktlig granskning av delårsrapport per

Nya regler om styrning och riskhantering

Övergripande granskning av IT-driften - förstudie

Om ITSM-barometern. Vi hoppas att även du tycker att rapporten är intressant och att du vill delta även nästa år. Tack än en gång för ditt deltagande!

Handfasta råd och tips för en lyckad IT-investering

Service management Samverkan och rapportering

Revisionsrapport. Riksrevisionens granskning av Sveriges riksbank Inledning

Mariestads kommun. Övergripande granskning Socialnämnden Rapport. KPMG AB Antal sidor: 3

Bilaga 4e. Samarbetsformer och fora. Upphandling av IT-stöd för barn- och elevregister inom Skolplattform Stockholm UTBILDNINGSFÖRVALTNINGEN

Uppföljningsrapport IT-revision 2013

Outsourcing och IT-avtal för kommuner 2012

Motala kommun. Övergripande granskning 2015 Kommunstyrelsen. Revisionsrapport. Offentlig sektor KPMG. Antal sidor: 9

Övergripande granskning av ITverksamheten

Service Management Tjänstebeskrivning

Er partner inom IT service management. Utbildningar e-learning Workshops Material Coachning

Hällefors kommun. Styrning och kontroll av anställdas bisysslor. KPMG Bohlins AB Antal sidor: 6. Anställdas bisysslor

Revisionsplan 2017/2018

Täby kommun. Verksamhetssystemet Pulsen Combined. Förstudie. Offentlig sektor KPMG AB 14 september 2016 Antal sidor: 5

Karlstads kommuns IT-verksamhet

Övergripande granskning IT-driften

GRANSKNINGSRAPPORT FÖR HÅLLBARHETSNÄMNDEN ÅR 2013

Revision af klimaregnskaber hvilke krav stilles der til rapportering af emissioner i fra transport? Torbjörn Westman

Bilaga 1: Riskanalys för ersättningspolicy

Governance, Risk & Compliance EBA Guideline 44

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

LIDINGÖ STADS FÖRFATTNINGSSAMLING F 20 / 2017 REGLEMENTE FÖR INTERN KONTROLL I LIDINGÖ STAD

Kramfors kommun. BAS-förvaltningens hyresavtal Revisionsrapport. Offentlig sektor - kommuner och landsting KPMG AB 13 november 2013 Antal sidor: 9

Mölndals stad. Revisionen. Uppföljning av tidigare granskningsrapport avseende kommunstyrelsens uppsikt över nämnder och bolag. Granskningsrapport

Finansinspektionens författningssamling

Lokala regler och anvisningar för intern kontroll

Policy för Essunga kommuns internkontroll

Arboga kommun. Granskning av investeringsprocessen. Projektplan KPMG AB Antal sidor: 5

Ordning och reda förenklar styrningen,

Örebro kommun. Granskning av biståndshandläggning inom äldreomsorgen. KPMG AB 8 december 2014 Antal sidor: 13

Intern kontroll och riskbedömningar. Strömsunds kommun

The Rational IT Model EN ENKLARE VÄG TILL IT SERVICE MANAGEMENT

GRANSKNINGSRAPPORT FÖR HÅLLBARHETSNÄMNDEN ÅR 2013

Styrning och uppföljning inom Bildningsutskottets verksamhetsområde

Talare till konferensen IT-SUPPORT I FOKUS 2017

Revisionsrapport Övergripande granskning

Granskning av strokevården

Uppföljning av tidigare granskning avseende IT-verksamheten

Finansinspektionens författningssamling

Riktlinjer för intern kontroll

Är du nöjd med ditt analyssystem?

Granskning av intern styrning och kontroll vid Statens servicecenter

Revisionsrapport Verksamheter på entreprenad

Granskning av bokslut och årsredovisning per

Upplands-Bro kommun. Uppföljning av projekt inom lekmannarevisionen Mats Lundberg

Internrevisionsavdelningens årsrapport 2013

Kungsörs kommun. Uppföljning av intern kontroll Revisionsrapport. KPMG AB Antal sidor: 8

IF Försäkring. Insourcing Service Desk

Riksrevisionens granskning av Sveriges riksbank 2003

effekt nu Kunskapsinitiativet

Byta system bli klar i tid och undvik onödiga kostnader

Riktlinjer för intern kontroll

Modell fo r ä ndringshäntering äv Sämbis gemensämmä tekniskä infrästruktur Version 1.0

Instruktion för Sveriges riksbank Bilaga 2

PIMM PROFECTO INFRASTRUCTURE MANAGEMENT MODEL ETT WHITEPAPER OM PIMM

Punkt 15: Riktlinje för outsourcing. Riktlinje för outsourcing. Tjänsteutlåtande Diarienummer:

REGLER FÖR INTERN KONTROLL

Revisionsrapport. IT-revision Solna Stad ecompanion

Till Kommunstyrelsen. För kännedom Kommunfullmäktige Barn- och utbildningsnämnden Socialnämnden. Förstudie registerkontroll

Revisionsrapport Granskning av delårsrapport per

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case

Är du nöjd med ditt system för planering, budgetering och prognos?

Granskning av bokslut och årsredovisning per

Vikten av att satsa tid på relation och governance vid outsourcing Martina Svenfelt Chef System Bankgirot.

Pandium Capital AB RIKTLINJER FÖR INTERNREVISION

Revisionskommitténs mandat

Styrning och ledning av hemtjänsten. Sunne

IT i skolan 2015 FRÅN TEKNIK TILL RESULTAT

Styrning, uppföljning och kontroll av att eleverna i grundskolan når kunskapskraven. Oxelösunds kommun

Finansinspektionens författningssamling

Är du nöjd med ditt system för rapportering och konsolidering?

Granskning av informationssäkerhet

OSLO - STOCKHOLM 2.55

Slutrapport. Certifiering LADOK Pontus Abrahamsson Lösningsarkitekt Säkerhet

Hällefors kommun. Uppföljning av intern kontroll Revisionsrapport. Offentlig sektor KPMG AB Antal sidor: 13

Bilaga 4f Gemensamma processer Dnr: /

Beslut HSN HSN BILAGA 2 Intern kontrollplan för Hälso- och sjukvårdsförvaltningen 2014

Vård- och omsorgsnämndens resultat kommunrevisionens webbenkät intern styrning och kontroll förtroendevalda och chefer juni 2018 Lidköpings kommun

Verksamhetsplan. Verksamhetsplan 2014 IT-enheten Denna verksamhetsplan godkändes av IT-enhetens ledningsgrupp den

Kommunstyrelsens ekonomistyrning

Avesta kommun. Övergripande granskning - Representation och Direktupphandling av konsulttjänster. KPMG AB Antal sidor: 11

RAPPORT. Årsrapport Internrevision Sammanfattning. 2. Aktiviteter under 2017

Transkript:

ABCD PROTOKOLLSBILAGA A Fullmäktiges protokoll 2015-12-14, 4 Sveriges riksbank Fullmäktiges revisionsfunktion Rapport Utvärdering av outsourcing av IT-drift KPMG AB 2015 KPMG AB, a Swedish limited liability partnership and a member firm of the KPMG network of independent member firms affiliated with KPMG International, a Swiss

ABCD Sveriges riksbank Rapport Utvärdering av outsourcing IT-drift Innehåll Sammanfattning 1 1. Inledning 1 1.1 Bakgrund 1 1.2 Mål och ansats 1 1.3 Omfattning och avgränsning 2 1.4 Genomförande och rapportdisposition 2 1.5 KPMGs referensram 2 1.6 Definition intern styrning och kontroll 2 2. Iakttagelser och rekommendationer från granskning 3 2.1 Tillämpning av avtal 3 2.2 Riksbankens leverantörsstyrning 4 2.3 Uppfyllande av leverantörsåtagande 5 2.4 Framåtblickande rekommendationer 6 Bilaga A. Intervjuer och dokumentation som ingått i granskningen 8

Sammanfattning Revisionsfunktionens bedömning är att Riksbanken (Banken) trots gjorda iakttagelser i denna rapport utövar en god styrning och kontroll av den outsourcade IT-driften. Bankens ITorganisation styr aktivt och målmedvetet samt ställer höga krav, i linje med avtalet. De utmaningar som Riksbanken har att hantera är inte unika för en första generationens outsourcing. Vår granskning visar att driften i stort är stabil men att däremot Bankens medarbetare är mindre nöjda med service och support kopplat till arbetsplatserna. De iakttagelser vi gör berör områden såsom tillämpning av avtal, leverantörsstyrning och leverantörens åtagande. Våra detaljerade iakttagelser och bedömningar redovisas i rapporten nedan tillsammans med rekommendationer. Vi har även valt att ge några framåtblickande rekommendationer kopplade till att avtalsperioden innan förläning snart går ut. 1. Inledning 1.1 Bakgrund Riksbanken beslutade i januari 2011 att initiera en upphandling avseende outsourcing av IT-drift. I september 2012 beslutades om att tilldela EVRY uppdraget. Baserat på detta beslut startades ett projekt bestående av ett flertal delprojekt i syfte att dels lämna över driften till EVRY och dels att flytta utrustning till leverantörens lokaler. Från och med sommaren 2014 sköts driften av EVRY i samverkan med Banken. Även om en verksamhet outsourcas till extern part har Riksbanken fortsatt ansvar för verksamheten. Banken driver ett aktivt arbete med att ställa om till en beställarorganisation där arbete med ny IT-strategi, ny förvaltningsmodell och en IT-plan är representativa exempel. Både Banken och EVRY har investerat tid och energi för att skapa bra förutsättningar för samarbete. 1.2 Mål och ansats På uppdrag av fullmäktige vid Banken har KPMG genomfört en uppföljande granskning av den utlagda IT-driften utifrån styrning och internkontroll inkl. bedömning av bankens utvärdering av effektmålen som formulerades i samband med upphandlingen. Målet med granskningen har varit att: - Följa upp tillämpningen av gällande avtal mellan Riksbanken och EVRY - Identifiera Riksbankens leverantörsstyrning mot EVRY - Erhålla en översiktlig bild hur EVRY svarar upp mot sitt leverantörsåtagande 1

1.3 Omfattning och avgränsning Vi har gjort en översiktlig utvärdering där avsikten har varit att identifiera de mest väsentliga förbättringsmöjligheterna avseende intern styrning och kontroll som kunnat påverka processerna kring befintlig outsourcingarrangemang (första generationens outsourcing) samt diskuterat hantering av förlängning och förnyad upphandling (andra generationens outsourcing). Vårt arbete baseras på information till och med oktober 2015 och har skett främst utifrån Bankens perspektiv. I vår utvärdering har inte ingått: - att värdera avtalets totala måluppfyllelse i förhållande till ursprungligt mål och business case - att följa upp nuvarande processer med EVRY i detalj 1.4 Genomförande och rapportdisposition Utvärderingen har omfattat faktainsamling och analys av relevant dokumentation så som t.ex. avtal och IT-strategi. Intervjuer har genomförts med representanter från bankens IT-organisation, förste vice riksbankschef samt kundansvarig hos leverantören. Utifrån insamlad information har sedan analys och utvärdering gjorts som leder fram till de iakttagelser, bedömningar och rekommendationer som lämnas i denna rapport. 1.5 KPMGs referensram - Vedertagna ramverk för intern styrning och kontroll, främst COSO1-ramverket - Etablerade ramverk för IT processer kring service och tjänstehantering enligt ITIL2 och ITSM3 - Finansinspektionens (FI) allmänna råd om styrning och kontroll av finansiella företag, FFFS 2005:1, kapitel 7 Uppdragsavtal. - EBAs nya regelverk för corporate governance i banker (GL44) som är under införande som ny föreskrift från FI. - Erfarenhet av hur andra organisationen arbetar med outsourcing generellt och outsourcad ITverksamhet specifikt. 1.6 Definition intern styrning och kontroll Enligt 1 Riksbankslagen ska direktionen säkerställa att det vid Riksbanken finns en intern styrning och kontroll som fungerar på ett betryggande sätt vilket innebär att den bedrivs: - Effektivt, - Enligt gällande rätt, - Med en tillförlitlig och rättvisande redovisning - Med god hushållning med statens medel 1 Committee of Sponsoring Organizations of the Treadway Commission 2 IT Infrastructure Library (med ref till ISO90001) 3 IT Service Management best practice and value added processes 2

2. Iakttagelser och rekommendationer från granskning 2.1 Tillämpning av avtal Iakttagelse och bedömning Granskningen visar att EVRY inte har kunnat uppfylla angiven nivå och kvalitet på leveransuppföljning med en korrekt och säker registrering samt uppföljning av ärenden och incidenter. Det innebär att Riksbanken inte kunnat lita fullt ut på den statistik över uppfyllande av servicenivåer som ligger till grund för avtalet. I EVRY:s offert till Riksbanken beskrevs metod och stödsystem som båda parter kunde tillämpa för en säker och adekvat uppföljning av incidenter och andra typer av ärenden. I praktiken innehåller informationsfångsten från EVRY:s servicedesk brister i förmågan att klassificera ärenden från användare på ett adekvat sätt. Detta är en av de få utestående aktiviteterna från projektet. Konsekvensen är att Riksbanken har tvingats utforma interimistiska rutiner för att säkra tillräcklig nivå på leveransuppföljning vilket inneburit mer insatser än planerat. Båda parter har utvecklat en plan för införande av ett nytt stödsystem och nya rutiner för denna viktiga process. Beräknad implementering är kring årsskiftet 2015/2016. Vidare innebär detta att det till exempel inte är möjligt att analysera orsaken fullt ut till användarnas låga betyg på åtgärder kopplade till support och service avseende arbetsplats. Vi rekommenderar Banken att prioriterar och sätter tydliga krav på EVRY avseende leveransplan för införande av förbättrade rutiner och stödsystem för ärendehantering. Vidare rekommenderar vi Banken att skapa kriterier som är stödjer en SMART 4 uppföljning när de nya rutinerna och stödsystemet är implementerade, alltför att säkra en förbättrad leveransuppföljning. 2.1.1 Vites hantering Det finns tillfällen då Bankens och EVRY:s personal varit överens om att aktuell servicenivå inte kunna uppfyllas på operationell nivå. Konstaterad avvikelse ska enligt avtal regleras via en avräkning där Riksbanken har rätt att få ersättning från EVRY i form av vite. I praktiken har regleringen av vitesärenden tagit onödig tid och onödiga resurser i anspråk då EVRY inte varit överens internt om hur vitesärenden ska hanteras. Granskningen visar att EVRY och Banken kunna slutföra regleringen av merparten av om än mycket senare än vad avtalet stipulerar. 4 Specifikt/Mätbart/Accepterat/Realistiskt/Tidsatt 3

Vi ser ingen större risk eller påverkan på den operationella verksamheten utifrån EVRY:s agerande. Däremot kan det innebära en försämrad affärsrelation som kan störa samverkan på taktisk och strategisk nivå och därmed leda till mindre fokus på andra viktiga proaktiva förbättringsåtgärder. Vi rekommenderar Banken att fortsatt ställa krav på EVRY att förbättra sin interna process kring vitesärenden som hanterats och godkänts på operationell nivå. Vår bedömning är att det är rimligt att komplettera ramverket och tillämpning av avtalet så att det finns ett överenskommet mätetal för ledtiden mellan konstaterad avvikelse som föranleder vite och EVRY:s faktiska reglering av vite. 2.2 Riksbankens leverantörsstyrning Iakttagelse och bedömning Vår genomgång av nuvarande modell för leverantörsstyrning visar att Riksbanken byggt och skapat en rollfördelning som rimmar väl med en god styrning av leverantören. Det finns etablerade processer och forum för leveranskontroll med tydliga eskaleringsvägar på taktisk och strategisk nivå. Vi bedömer att denna styrning är tillräcklig för att hantera och säkra grundleveransen. De brister som vi uppmärksammat under 2.1 ovan är väl kända med pågående åtgärder enligt gällande samverkansmodell. Vår bedömning är insatsen för att styra och följa upp EVRY:s åtagande förmodligen har tagit mer resurser och insatser än planerat för Banken Det är snarare ett bekymmer för EVRY som inte varit rustade att hantera den nivå på uppföljning och förväntad kvalitet på innehållet i statistikrapportering som Riksbanken önskar i förhållande till andra kunder. Vi rekommenderar att Banken utvärdera möjligheten att förenkla och rationalisera processerna kring uppföljning och kontroll av incidenter, problem samt change, dvs. ändringshantering. Detta bör kunna ske efter höjning av kvalitetsnivån på leveransrapportering som bör ge möjlighet att omvandla resurser för extra kontroll till att arbeta med proaktiva förbättringsåtgärder som antas leda till ökad nöjdhet för slutanvändare, dvs. mer fokus på åtgärder än uppföljning. 2.2.1 Change och release hantering Iakttagelse och bedömning Övergången från egen till kontrakterad produktion innebar en relativt lång period med begränsad omfattning på förändringar. När RITVA-projektet avslutades fanns därmed ett uppdämt behov att initiera och genomföra förändringar. 4

Banken har idag en hög förändringstakt som innebär möjlighet att uppdatera produktionsmiljön med veckovisa releaser 5. En hög frekvens på ändringar driver fram krav på en dynamisk process och organisation med förmåga att följa upp och hantera ändringarna på ett kontrollerat sätt i samverkan med EVRY. Täta förändringar innebär att risken för stora och omfattande konsekvenser i verksamheten begränsas i jämförelse med motsatsen, dvs. mindre frekventa och större förändringar. Vår genomgång av ändringshanteringen indikerar att EVRY har ett begränsat antal resurser som belastas hårt och därmed utgör nyckelpersoner. Risken är att hög arbetsbelastning hos ett begränsat antal personer leder till akut brist på resurser som påverkar möjligheten att fullfölja nuvarande ändringsfrekvens. I syfte att säkra en stabil och tryggad ändringshantering rekommenderar vi att Banken utvärdera om en glesare frekvens av ändringar kan leda till en minskad arbetsbelastning för samtliga parter. Vidare rekommenderar vi att Banken i det taktiska forumet även påtalar och driver frågan om befarad risk kring nyckelpersoner med hög arbetsbelastning. 2.3 Uppfyllande av leverantörsåtagande Iakttagelse och bedömning Vi har inom ramen för granskningen identifierat tre typer av avvikelser sett ur Bankens perspektiv när det gäller EVRY:s leverantörsåtagande. - Avvikelser kopplat till fullföljande av servicenivåer (SLA) enligt avtal. Dessa avvikelser är enkla att följa upp baserat på statistik från genomförd produktion och nyckeltal och behandlas via det operativa forumet och har inneburit viten. - Avvikelser baserat på utlovade funktioner och åtaganden kopplat till avtal. Här ingår främst EVRY:s förmåga att hittills lämna en adekvat återrapportering samt stöd för hantering av ärenden. Dessa företeelser är uppmärksammade på taktisk nivå där planerade åtgärder för förbättring av ärendehantering och rapportering via portal och byte av verktyg finns. - Avvikelser som är svårare att hänföra till specifika avtalspunkter men ger uttryck för Bankens upplevda nöjdhet med hur EVRY agerar för att lösa sina åtaganden. Banken har vid något tillfälle valt att eskalera företeelser och händelser kopplat till förändringar och akuta incidenter till VD-nivå hos leverantören. Det finns indikationer på reaktiva beteenden hos EVRY inom detta område. 5 Ändringar i system och program 5

Utifrån vår erfarenhet är ovan beskrivna avvikelser inte ovanliga eller unika för kunder som har traditionella leverantörer med sourcingavtal som avser såväl basleverans 6 som tilläggstjänster. Vår bedömning är att Banken har skapat tillräckliga styrmekanismer och forum för att få leverantören att agera mer proaktivt och med fokus att stödja bankens förändringar då grundleveransen är på plats. Vi rekommenderar Banken att fortsätta uppmuntra och formulera tydliga mål i samverkan med EVRY kopplat till de områden som Banken inte är fullt nöjd med och som avser hur EVRY agerar för att Bankens ska bli nöjd inom: - Problemanalys och åtgärder för att höja användarnöjdhet avseende arbetsplats - Proaktiva åtgärder som motverkar risken för affärkritisk störning hos nyckelpersoner - Resurs och kompetensförstärkning för tilläggsbeställningar och ändringshantering 2.4 Framåtblickande rekommendationer Iakttagelse och bedömning Vårt uppdrag innebär inte att vi ska ge några råd om beslut kopplat till att avtalet närmar sig utgång. Utifrån den erfarenhet vi har från andra organisationer och de iakttagelser vi gjort inom ramen för denna granskning har vi inte fångat upp några uppenbara fördelar med att inte utnyttja möjligheten att förlänga avtalet. Vi ser ett behov av att Banken påbörjar planeringen och genomlyser förutsättningar och inriktning för nästa generations outsourcing. En del av detta arbete är delvis beskrivet i pågående översyn av Bankens IT strategi. Arbetet kan med fördel kompletteras med en översyn av avtalsklausuler för avslut, övervägande avseende konkurrensutsättning inom ramen för ett pågående avtal (s.k. open book) samt fortsatt analys av förändringar bland marknadens aktörer och konsekvenser av den teknologiska utvecklingen. En andra generations upphandling ställer även krav på hur ett upphandlingsunderlag bäst utformas för att premiera tillräcklig kommersiell konkurrens och klausuler som möjliggör styrning av flera kontrakt i samverkan 7. En reflektion vi gör är att kraven på servicenivåer och därtill kopplade vitesklausuler riskerar att leda till oönskade reaktiva beteenden hos leverantören utan nytta för helheten. Banken bör samla de erfarenheter som hittills gjorts och aktivt analysera vilka krav på servicenivåer etc. som är rimliga och relevanta att ställa i samband med nästa upphandlingstillfälle. 6 Servicedrift, arbetsplats, infrastruktur 7 Multisourcing 6

Anders Thunholm Partner KPMG 7

Bilaga A Granskningen har omfattat genomläsning av relevant dokumentation, viss verifiering samt intervjuer med nyckelpersoner: Intervjuer Intervjuerna har genomförts med följande personer inom Riksbanken. Namn Kerstin af Jochnick Marianne Olsson Ulrika Pilestål Henrik von Proschek Anders Hellström Lars Marcus Fredrik Leufstadius Marta Birgisdottir Befattning Förste vice riksbankschef Chef Avdelningen för verksamhetsstöd (AVS) Chef AVS/IT Enhetschef AVS/ITTE Leverantörsansvarig Leveransansvarig Ekonomiforum/fakturering/viteshantering Kundansvarig EVRY 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss