Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling

2011-06-01 Dnr 1.3-6544/2011 1(2) Internrevisionen Angelica Davidsson Nirvning Internrevisionsrapport Styrning av IT-utveckling Intern styrning och kontroll i processen för IT-utveckling Internrevisionen har i enlighet med revisionsplanen för 2011 granskat intern styrning och kontroll i processen för IT-utveckling. Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda IT-utvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? I enlighet med revisionsplanen har konsultstöd med ITrevisionskunskap anlitats. En IT-revisor från Transcendent group har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen har deltagit som medverkande revisor i projektet och har medverkat vid samtliga intervjuer utom en och har i övrigt hanterat alla kontakter mellan Transcendent group och Socialstyrelsen. Rapporten från Transcencent group utgör internrevisionens revisionsrapport och presenteras i bilaga 1. De bedömningar och rekommendationer som lämnas i rapporten utgör internrevisionens bedömningar och rekommendationer. SOCIALSTYRELSEN 106 30 Stockholm Telefon 075-247 30 00 socialstyrelsen@socialstyrelsen.se www.socialstyrelsen.se Fax 075-247 32 52 Org nr 202100-0555 Plusgiro 15616-6

SOCIALSTYRELSEN 2001-06-01 Dnr 1.3-6544/2011 2(2) Beslut i detta ärende har fattats av internrevisionschef Angelica Davidsson Nirving. 2011-06-01 Angelica Davidsson Nirving Bilaga: Rapport IT-utveckling: Styrning och intern kontroll inom ITutvecklings- och projektverksamheten

IT-utveckling Socialstyrelsen Styrning och intern kontroll inom IT-utvecklings- och projektverksamheten Internrevision 2011-04-26

Sammanfattning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat myndighetens IT-utveckling. Syftet med revisionen var att granska styrning och intern kontroll i processen för IT-utveckling och projektverksamhet i syfte att identifiera förbättringsområden. Granskningen har utgått från tre frågeställningar, vilka nedan sammanfattas: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av ITutvecklingen inom myndigheten (effektivitet)? Granskningen visar på stora brister avseende styrningen av myndighetens ITutvecklingsaktiviteter. Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. Den sammanfattande bedömningen är att området är mycket otillfredsställande. 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? Granskningen visar att styrningen och hanteringen av enskilda projekt saknar en enhetlig struktur och att Socialstyrelsens projektstyrningsmodell ej är ändamålsenlig och inte efterlevs vid IT-utvecklingsprojekt. Det finns väsentliga brister inom projektuppföljningen och en otydlighet kring kostnadsredovisning. I samband med projektavslut saknas riktlinjer för överlämning till drift och förvaltning. Den sammanfattande bedömningen är att området är otillfredsställande. 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Ansvaret avseende systemförvaltning är ofta otydligt vilket särskilt gäller förvaltning av de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system. Inom systemutvecklingsarbetet finns inte en enhetlig process med riktlinjer kring kravhantering, systemdokumentation, testning och driftsättning. Den sammanfattande bedömningen av området är otillfredsställande. För att åtgärda de brister och risker som identifierats krävs att tydliga processer tas fram, fastställs och kommuniceras till samtliga berörda parter. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg bör rekryteras som ansvarar för Socialstyrelsens användning av IT och dess IT strategi samt representerar beställaren av IT-stöd (verksamheten) gentemot leverantören (IT-enheten eller annan leverantör). Denna funktions skulle kunna placeras inom GD-staben eller den Administrativa avdelningen. IT-strategen bör vidare ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt och medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt Socialstyrelsen 2 (21)

En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med uppgift att ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov till en dedikerad kundansvarig inom IT-enheten En eller flera utpekade kundansvariga rekryteras/utses inom IT-enheten med ansvar för mottagning av önskemål om resurser/medverkan från IT-enheten i IT-utvecklingsprojekt liksom löpande förvaltnings- och utvecklingsärenden där tydliga kommunikationskanaler inte redan finns etablerade genom systemförvaltningsmodellen 2011-04-26 Magnus Thyllman Certifierad internrevisor, CIA Certifierad IT-revisor, CISA Socialstyrelsen 3 (21)

Innehållsförteckning Sammanfattning... 2 Innehållsförteckning... 4 1 Inledning... 5 1.1 Bakgrund... 5 1.2 Syfte och frågeställningar... 5 1.3 Avgränsningar... 6 1.4 Utfört arbete och metodik... 6 2 Ramverk och bedömningskriterier... 7 3 Styrning av IT-utvecklingen inom myndigheten... 8 3.1 Övergripande styrning och organisation... 8 3.2 Budgetering, resurstilldelning och prioritering av projekt... 9 3.3 Koordinering, samordning och uppföljning... 9 4 Styrning och hantering av enskilda IT-utvecklingsprojekt... 10 4.1 Projektmodell... 10 4.2 Projektförutsättningar... 10 4.3 Löpande projektuppföljning... 11 4.4 Projektavslut... 12 5 Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter 13 5.1 Systemförvaltning... 13 5.2 Systemutveckling... 14 6 Förbättringsområden, bedömningar och rekommendationer 15 6.1 Styrning av IT-utveckling inom myndigheten... 16 6.1.1 Otydliga roller och processer för styrning av IT-utveckling... 16 6.1.2 Otydlig beslutsprocess avseende IT-utvecklingsprojekt... 17 6.1.3 Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut... 17 6.2 Styrning och hantering av enskilda utvecklingsprojekt... 18 6.2.1 Socialstyrelsens projektmodell är bristfällig... 18 6.2.2 Bristfällig projektuppföljning... 18 6.2.3 Otydliga riktlinjer för kostnadsredovisning... 18 6.2.4 Bristande hantering av projektavslut... 19 6.2.5 IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete... 19 6.3 Hantering av löpande systemförvaltning och IT-utvecklingsaktiviteter... 20 6.3.1 Systemförvaltningsmodellen saknar rollbeskrivningar... 20 6.3.2 Avsaknad av struktur och process för hantering av förändringsbehov... 20 6.3.3 Otydligt ansvar för förvaltning av SAS-systemen... 21 6.3.4 Process för systemutveckling saknas... 21 Socialstyrelsen 4 (21)

1 Inledning På uppdrag av internrevisionen vid Socialstyrelsen har Transcendent Group utvärderat styrning och intern kontroll inom IT-utvecklings- och projektverksamheten. 1.1 Bakgrund Socialstyrelsen använder sig i huvudsak av standardsystem och IT-utvecklingsarbete bedrivs i begränsad omfattning och till största delen med hjälp av externa konsulter. Enligt 4 kap. 3a i arbetsordning för Socialstyrelsen (dnr. 14137/2010) svarar den Administrativa avdelningen för utvecklingsprojekt, infrastruktur och service avseende IT. IT-enheten, som ingår i den Administrativa avdelningen, har dock inte ett tydligt ansvar för övergripande samordning av IT-utveckling såsom framtagande av krav och metodik för ITutvecklingsprojekt. Enheten har totalt 24 anställda (varav två är inhyrda konsulter) som arbetar med servicedesk, infrastruktur och förvaltning. IT-enheten erbjuder inte systemutveckling som tjänst. Inom IT-enheten pågår ett förändrings- och utvecklingsarbete, bland annat har en ny systemförvaltningsmodell utarbetats och beslutats av GD och en ny organisation för ITenheten införs den 1 april 2011. Det finns inte någon IT-strategi, IT-utvecklingsportfölj eller något beredande organ med uppgift att koordinera och samordna Socialstyrelsens pågående och framtida ITutvecklingsprojekt. IT-utvecklingsarbete bedrivs inom flera av avdelningarna. Sakavdelningarna upplever idag att de inte får det stöd de behöver avseende IT-utveckling från IT-enheten. Detta kan i sin tur leda till att verksamheten inte erhåller ändamålsenliga systemstöd och därmed inte har möjlighet att genomföra planerad verksamhetsutveckling. Det har inom Socialstyrelsen förekommit att IT-projekt som bedrivits inte kunnat leverera efterfrågade resultat. IT-projektet Händelsedatabas Klara och det inledande arbetet 2010 inför införandet av ett nytt intranät är exempel på IT-utvecklingsaktiviteter som inte levererat avsedda resultat. 1.2 Syfte och frågeställningar Syftet med revisionen är att granska och göra en nulägesanalys av styrning och intern kontroll i hanteringen av IT- och projektutveckling för att identifiera förbättringsområden. Granskningen har utgått från följande frågeställningar: 1. Hur effektiv och ändamålsenlig är den övergripande styrningen av IT-utvecklingen inom myndigheten (effektivitet)? 2. Hur effektiv och ändamålsenlig är styrningen och hanteringen av enskilda ITutvecklingsprojekt (effektivitet, regelefterlevnad)? 3. Finns effektiva och ändamålsenliga rutiner och processer för hantering av enskilda IT-utvecklingsaktiviteter (effektivitet, regelefterlevnad)? Socialstyrelsen 5 (21)

1.3 Avgränsningar Granskningen omfattar inte den generella verksamhetsutvecklingsprocessen inom myndigheten utan avgränsar sig till styrning av sådan verksamhetsutveckling där IT-utveckling ingår. Med IT-utveckling avses i rapporten aktiviteter kopplade till planering, styrning, genomförande, övervakning samt uppföljning av förändringar i myndighetens IT-stöd (såväl applikationer som IT-infrastruktur). 1.4 Utfört arbete och metodik Transcendent Group har bistått internrevisionen med IT-revisionskunskap i detta uppdrag och en konsult har varit ansvarig revisor och projektledare för uppdraget. Internrevisionen på Socialstyrelsen har medverkat i uppdraget i rollen som medverkande revisor. Granskningen utfördes genom intervjuer med ansvariga och inläsning av styrande dokument och annan dokumentation. Chefer och personal inom IT-enheten har intervjuats liksom chefer i verksamheten och då särskilt från Avdelningen för statistik och utvärdering då denna avdelning är mycket IT-beroende. För att verifiera iakttagelserna har två IT-utvecklingsprojekt granskats specifikt och projektledare intervjuats. Socialstyrelsen 6 (21)

2 Ramverk och bedömningskriterier Internrevisionen har utgått från ramverket COBIT 1 vid sin granskning av styrning och intern kontroll inom IT-utveckling. COBIT är ett ramverk för såväl styrning som revision av kontroller som påverkar verksamhetens användning av IT. Granskningen har baserats på främst följande processer inom COBIT: Plan and Organize PO10 Manage Projects (Styrning och hantering av projekt) Acquire and Implement AI2 Acquire and Maintain Application Software (Anskaffning och underhåll av applikationer) AI3 Acquire and Maintain Technology Infrastructure (Anskaffning och underhåll av IT-infrastruktur) AI6 Manage Changes (Förändringshantering) AI7 Install and Accredit Solutions and Changes (Driftsättning och överlämning till förvaltning) Internrevisionen har i respektive revisionsbedömning bedömt risken med iakttagelsen. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). Varje revisionsfråga besvaras i var sitt kapitel (kapitel 3-5) och följs av en beskrivning av identifierade förbättringsområden, bedömningar och rekommendationer i kapitel 6. 1 COBIT (Control OBjectives for Information and related Technology) Socialstyrelsen 7 (21)

3 Styrning av IT-utvecklingen inom myndigheten 3.1 Övergripande styrning och organisation Granskningen visar att det finns en otydlighet och osäkerhet kring roller och ansvar avseende utveckling av Socialstyrelsens IT-system. Det finns inte en tydlig struktur för hur såväl stora som små förändringar i IT-miljön ska hanteras och hur detta hänger ihop med den ordinarie planeringsprocessen och arbetet med verksamhetsplaner. Beslut avseende större IT-investeringar och utvecklingsprojekt fattas av GD efter diskussion i ledningsgruppen. Det finns dock inte fastställda rutiner och mallar för att förse ledningsgruppen med ändamålsenliga och väl underbyggda beslutsunderlag. Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar, då en IT-strategi brukar ange och fastställa inriktningen för en organisations användning av IT-stöd. Det finns på grund av detta inte förutsättningar för att ledningsgruppen ska få en gemensam och överblickbar bild av handlingsalternativ, kostnader, konsekvenser och strategiska prioriteringar avseende IT-utveckling. I avdelningarnas verksamhetsplaner ska utvecklingsbehov finnas med. Det har dock framkommit att så inte alltid är fallet. Det finns även en osäkerhet kring hur processen ser ut för att omvandla utvecklingsplaner till utvecklingsaktiviteter och hur IT-enheten är och bör vara delaktiga i detta arbete. I de fall avdelningarna behöver hjälp av IT-enheten i enskilda utvecklingsärenden saknas ofta tillräckliga underlag och dokumenterade krav. Detta kan dock, åtminstone delvis, förklaras med att det inte finns mallar och stöd för vilken information de behöver ta fram. Det kan konstateras att verksamheten saknar tillräcklig beställarkompetens i IT-utvecklingsfrågor. Vid intervjuer har flera påtalat att de upplever att de inte får återkoppling på information och önskemål som lämnas till IT-enheten. Detta kan delvis bero på att det inom IT-enheten saknas tillräckliga resurser med kompetens och erfarenhet att omvandla verksamhetsbehov till IT-utvecklingsaktiviteter. IT-enheten har, i enlighet med GD:s beslut att införa Sharepoint plattformen på Socialstyrelsen 2, slagit fast att de ska fokusera på Microsoft-produkter och Sharepoint som primär plattform. Tidigare var plattformsval mindre styrt och IT-enheten arbetade mer reaktivt utifrån verksamhetens önskemål. Inriktningen mot Sharepointlösningar finns dock inte dokumenterad i någon plattformsstrategi 3 eller liknande. Register och databaser som används av avdelningen Statistik och utvärdering hanteras i SASsystemet 4, detta system används inte av den övriga myndigheten. De register och databaser som hanteras i SAS-system har enligt uppgift haft svårt att få det stöd som avdelningen Statistik och utvärdering anser sig behöva från IT-enheten då de främst fokuserar på Microsoft-produkter. 2 Beslut om budget, inriktning och gemensam styrgrupp för projekten "MOSS-plattform" och "Ny webbplats" föredragen 2008-04-14 i Socialstyrelsens ledningsgrupp, 2008-05-17 dnr.151-2008-92 3 En plattformsstrategi är ett beslut där det fastställs vilken systemmiljö såsom vilket operativ system och vilka databaser som ska användas i en verksamhet 4 Statistical Analysis System är integrerade systemlösningar som tillhandahålls av SAS Institutet Socialstyrelsen 8 (21)

3.2 Budgetering, resurstilldelning och prioritering av projekt Det finns inte någon process för prioritering av utvecklingsprojekt och resursplanering kopplat till denna. Större projekt beslutas av GD eller av avdelningschef idag, men det finns ingen central styrning av när projekten ska genomföras och hur resurser ska prioriteras mellan olika projekt. Då det i intervjuer framkommit att personalresurser på IT-enheten är en trång sektor med stort nyckelpersonsberoende, är en tydlig process för resurstilldelning en nödvändighet. Processen för verksamhetsplanering förefaller inte vara helt synkroniserad med beslut kring utvecklingsprojekt som påverkar IT-miljön, vilket gör att avdelningarna ibland sätter igång utvecklingsprojekt utan att dessa finns i verksamhetsplanerna. De intervjuade anser att mindre projekt med IT-påverkan som drivs inom avdelningarna fungerar bra i de flesta fall, men att de ofta är beroende av informella och inarbetade kontakter på IT-enheten. Det finns inte några tydliga riktlinjer kring hantering av budget i projekten. Samtliga projekt bedöms ha uppsatta budgetar i projektplanerna. Det finns dock en osäkerhet kring vilka kostnader som ska ingå i budgeten (och vad som avser investering respektive kostnad), hur detta ska följas upp löpande och vilket budgetansvar projektledaren har. 3.3 Koordinering, samordning och uppföljning Granskningen visar att det inte finns någon projektportfölj eller liknande sammanställning av pågående och planerade IT-utvecklingsprojekt utöver den investeringsplan som årligen beslutas av GD. Avsaknaden av en övergripande bild av vilka projekt och utvecklingsaktiviteter som pågår minskar möjligheterna för styrning, koordinering och samordning av dessa. Det har hänt att verksamheten drivit utvecklingsprojekt med stor IT-påverkan utan att ITenheten varit informerad eller involverad, vilket kan medföra att system tas fram som ITenheten saknar resurser för att förvalta eller inte passar i Socialstyrelsens plattform. Det finns även exempel där flera avdelningar driver liknande förändringsprojekt på egen hand utan att samordna dessa och dra fördelar av varandras erfarenheter och kompetens. Några av de intervjuade har indikerat att det pågår ett tjugotal projekt, men det förefaller inte finnas någon klar bild över detta. IT-enheten har inte heller överblick eller sammanställning över alla pågående projekt där de är inblandade. Det förefaller inte heller finnas någon strukturerad central övervakning och uppföljning av pågående projekt för Socialstyrelsen som helhet. Ledningen saknar därmed en samlad kunskap om vilka projekt som är försenade, vilka som drar över budget eller vilka som saknar resurser. Socialstyrelsen 9 (21)

4 Styrning och hantering av enskilda IT-utvecklingsprojekt Utvärderingen av hur enskilda utvecklingsprojekt hanteras gjordes genom att välja två projekt för detaljerad granskning. I samband med urvalet av projekt för granskning diskuterades ett flertal projekt, däribland några som bedömdes som misslyckade. Internrevisionen valde dock att välja två projekt som ansågs ha fungerat tillfredsställande, då det bedömdes onödigt att slå in öppna dörrar där brister redan konstaterats. Projekten som valdes var uppgraderingen av DHS till version 4.1 och införande av Nationell webbaserad kunskapsportal (Kunskapsportalen). Dessa två projekt är relativt olika i karaktär då Kunskapsportalen är ett regeringsuppdrag med tydlig kravbild och omfattning medan uppgraderingen av DHS är mer fritt och styrt utifrån avdelningarnas önskemål och behov. 4.1 Projektmodell Det finns en internt utarbetad projektmodell 5 inom Socialstyrelsen som är anpassad för olika typer av projekt, denna är dock inte uppdaterad sedan 2007. Exempelvis hänvisas i vissa delar till det IT-råd som ej längre finns. Av de två granskade projekten är det endast Kunskapsportalen som följt projektmodellen. Inom DHS-projektet användes inte modellen då den inte ansågs vara ändamålsenlig. Utifrån intervjuer har det framkommit att projektmodellen inte är anpassad för de krav som ställs vid IT-projekt. Synpunkter har framkommit på att den behöver bytas ut, alternativt uppdateras, då den saknar tydlighet kring ansvar och roller samt saknar tydliga mallar för projektstyrning och projektuppföljning. Modellen saknar också tydliga riktlinjer kring statusrapportering och användning av styrgrupper i projekten. Det förefaller vara vanligt förekommande att projektmodellen inte används i ITutvecklingsprojekt inom Socialstyrelsen då den inte anses relevant och ändamålsenlig. 4.2 Projektförutsättningar För Kunskapsportalen finns en projektplan som beskriver projektet och kraven har dokumenterats i så kallade user stories. För DHS-projektet finns ett projektdirektiv, upprättat enligt leverantören Logicas mall, där projektorganisationen finns dokumenterad. Kraven har dokumenterats i en Excelfil. Ingen formell beställningsrutin/mall finns för beställningar till Logica. Det händer att kraven som Socialstyrelsen skickar till Logica förändras flera gånger dvs. kraven blir inte frysta. Detta medför ibland att utvecklingen tar längre tid och därmed blir mer kostsam då lösningen måste konstrueras om flera gånger. Inom DHS finns inte heller någon process för prioriteringar av ändringsförslag. Om olika önskemål kommer från flera avdelningar kan det bli svårt att tillmötesgå alla önskemål. Detta har inte varit fallet hittills, men eftersom systemet används allt mer av fler avdelningar skulle detta kunna inträffa. Det finns litet dokumenterat om systemet sedan tidigare men sedan augusti 2010 har systemförvaltningsorganisationen för DHS (inom IT-enheten) börjat dokumentera alla förändringar som görs. 5 Beslutad 2006-01-18, reviderad 2007-11-15 Socialstyrelsen 10 (21)

Inom Kunskapsportalprojektet är bedömningen att det finns tillräckligt med resurser. De är överbudgeterade dvs. kommer inte göra av med alla pengar i budgeten. Många konsulter deltar i projektet och svårigheten är inte att hålla budgeten utan att klara av tidsplanen. Inom DHS finns ett stort nyckelpersonberoende avseende projektledaren som i stor utsträckning hanterar projektet själv på Socialstyrelsen tillsammans med Logica. Systemägaren är även involverad men inte alls i samma grad som projektledaren. Projektet har endast en operativ styrgrupp som utgörs av projektledaren och systemägaren från Socialstyrelsen och två personer från Logica. Ett generellt problem som framkommit i flera intervjuer är svårigheten att få tillgång till ITresurser i projekt. IT-enheten vill vara med tidigt i projekten men verksamheten upplever ibland att IT-enhetens representanter inte tillför projektet det värde de förväntat. En av orsakerna till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga som saknar erfarenhet och kompetens inom verksamhetsnära projektarbete och som inte har tillräcklig kunskap om verksamheten. 4.3 Löpande projektuppföljning Löpande projektuppföljning sker inom båda de granskade projekten. Uppföljningen är dock främst kopplad till projektets framfart och status medan aspekter som efterlevnad av budget och projektrisker inte beaktas i tillräcklig utsträckning. Styrgruppen för DHS-projektet ska egentligen träffas varje månad men har hittills endast haft två möten; i november och i februari. Inom Kunskapsportalprojektet har viss budgetuppföljning skett av projektledaren men inte på ett strukturerat och regelbundet sätt och det finns inte dokumentation från detta. Inom DHS-projektet sker ingen uppföljning av budgeten. Ingen följer heller upp debiterade timmar från Logica. Alla timmar/kostnader kopplat till DHS läggs samman vid fakturering, Logica lämnar dock en specifikation på hur timmarna fördelats per projekt och konsult. Det sker dock inte någon uppföljning av förbrukade timmar och interna kostnader tas inte med i projektbudgeten. Logica levererar även löpande support för akuta ärenden till Socialstyrelsen, kostnaderna för supporten faktureras också gemensamt med utvecklingskostnaderna. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader för intern personal, även kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). I Kunskapsportalprojektet gjordes en riskanalys när projektplanen togs fram, vilken dokumenterades i projektplanen och enligt uppgift avrapporterades med förslag på åtgärder i referensgruppen. Denna är dock inte fullt genomförd då riskanalyser och uppföljning av åtgärder inte gjorts löpande i projektet därefter. I DHS-projektet identifierades tre risker i kravspecifikationen som nu är åtgärdade. er behandlas på styrgruppsmöten men det finns inget specifikt dokument som beskriver riskerna. Socialstyrelsen 11 (21)

En generell iakttagelse från intervjuerna är att det finns många olika uppfattningar om vad en styrgrupp är och vilken roll denna ska ha i ett projekt. Det förefaller som styrgrupper har mycket olika arbetssätt i de fall de används. 4.4 Projektavslut Hantering av projektavslut är ett område som inte tas upp i Socialstyrelsens projektstyrningsmodell. Inom Kunskapsportalprojektet finns inga tydliga avslutspunkter ännu. Ett förslag på förvaltning har lämnats av Socialstyrelsen men beslut har ännu inte erhållits från regeringen. Förvaltning av DHS version 4.0 finns redan och samma organisation kommer att användas för version 4.1. Det finns dock inte tydliga riktlinjer för hur överlämning ska ske från Logica till Socialstyrelsen. Utifrån övriga intervjuer har framkommit att det generellt inte finns rutiner avseende överlämning till förvaltning och drift och att kommunikationen många gånger har varit bristande vid överlämning från projekt. I utvecklingsprojekt anlitas ofta konsulter som ibland även medverkar vid driftsättning. Problem uppstår då när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. Socialstyrelsen 12 (21)

5 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter 5.1 Systemförvaltning Det har funnits och finns fortfarande en osäkerhet inom Socialstyrelsen när det gäller roller och ansvar inom systemförvaltning. Det finns exempelvis ingen uttalad strategi kring ITenhetens roll inom systemförvaltningen. Idag agerar IT-enheten systemförvaltare främst för de flesta administrativa systemen, för mailsystemet och för DHS-systemet. För övriga system hanteras systemförvaltningen av verksamheten själva, ofta med hjälp av konsulter. En ny systemförvaltningsmodell har nyligen tagits fram och beslutats inom Socialstyrelsen 6. Det fanns även tidigare en systemförvaltningsmodell men denna var inte uppdaterad på många år och efterlevdes inte. Roller såsom systemägare och systemförvaltare har även funnits tidigare men det har inte funnits någon bild av vad rollerna innebär. Den nya systemförvaltningsmodellen är en förenklad modell där det för varje system ska upprättas ett förvaltningskontrakt som tydliggör ansvar och roller för systemet. Det har funnits och finns fortfarande en otydlighet kring ansvarsfördelningen mellan IT-enheten och verksamheten, vilket den nya modellen ämnar klargöra. Modellen innebär att verksamheten (respektive avdelning/enhet) ska vara systemägare för sina respektive system. IT-enheten kommer dock ha systemförvaltarrollen för vissa gemensamma system. Tanken är att systemägarna för varje enskilt system får bestämma själva hur de vill ha det och att detta ska dokumenteras. Den nya modellen är i ett första steg mer en kartläggning av roller och ansvar. Något som dock saknas i modellen är en tydlig beskrivning av vad rollerna systemägare och systemförvaltare innebär. En omorganisation pågår för närvarande inom IT-enheten, vilken kommer att resultera i en förvaltningsgrupp inom IT-enheten med ansvar att förvalta några myndighetsgemensamma system som Sharepoint-applikationer och DHS. Förvaltningsgruppen kommer också att ha till uppgift att fordra in systemkontrakt även för system som inte förvaltas av dem, så att myndigheten kan få en överblick över den totala förvaltningen. IT-enheten kommer att följa upp efterlevnaden av systemförvaltningsmodellen löpande och rapportera detta till ledningsgruppen och GD. Vid intervjuer har det framkommit att det finns brister i kravställningen från verksamheten gentemot IT-enheten för förvaltning av Socialstyrelsens IT-system. Mindre förändringar i systemen har hittills arbetats fram av de som arbetar med systemen i verksamheten tillsammans med någon på IT-enheten. Det finns inga interna serviceavtal (SLA 7 ) mellan verksamheten och IT-enheten. En önskad effekt av den nya systemförvaltningsmodellen är att denna ska tydliggöra och formalisera verksamhetens ansvar för kravställning gentemot ITenheten. För att möjliggöra denna kravställning krävs också att IT-enheten tydliggör på vilket sätt och i vilken utformning som kraven ska definieras. Ett område där systemförvaltningen under många år har dragits med problem är förvaltningen av Socialstyrelsens register och databaser som främst används av avdelningen Statistik och 6 Beslutad av GD vid ledningsgruppsmöte 2001-02-14 7 Service level agreement Socialstyrelsen 13 (21)

utvärdering och hanteras i SAS-system. Det är ungefär 50-60 personer inom avdelningen som arbetar med dessa system dagligen. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en fungerande arbetsfördelning och det finns inom denna verksamhet en bild av att IT-enheten inte förstår deras behov. Ett område som varit föremål för meningsskiljaktigheter när det gäller IT-lösningar är vilken nivå av informationssäkerhet som behövs. Detta försvåras ytterligare av att det inom myndigheten finns brister inom informationssäkerhetsarbetet och att det inte finns någon informationssäkerhetsansvarig utsedd med kompetens att bedöma vad som är en rimlig säkerhetsnivå. Idag hanteras uppdateringar och utveckling av förändringar i SAS-miljön av verksamheten själva med hjälp av konsulter från systemleverantören. IT-enheten sköter endast drift av de Windowsservrar som SAS-systemen ligger på. Ibland medverkar IT-enheten vid driftsättning av förändringar, men inte alltid. Det finns en stor osäkerhet kring ansvar och roller mellan avdelningen och IT-enheten, speciellt vid förändringar som påverkar både applikation och ITinfrastruktur, som exempelvis kommunikationslösningar 5.2 Systemutveckling IT-enheten utför ingen systemutveckling utan detta hanteras av externa konsulter på uppdrag av sakavdelningarna. Ett fåtal personer inom IT-enheten ger visst stöd i arbetet med förstudier och kravställning. Det finns ingen formell rutin eller process för systemutveckling inom Socialstyrelsen. Det finns exempelvis inga dokumentationskrav och de arbetar inte med standardiserade ändringsbegäranden eller driftsättningsrutiner. IT-enheten har dock skapat en lista i Sharepoint för att dokumentera och klassificera förändringar internt på IT-enheten. För DHS har även rutiner avseende ändringsbegäran tagits fram. IT-enheten arbetar också med att etablera funktionsansvariga för olika delar av plattformen och systemförvaltare för olika system. En person ska exempelvis vara ansvarig för alla förändringar avseende Sharepoint. Generellt är dokumentationen bristfällig vid förändringar. Det saknar exempelvis ofta spårbarhet från godkännanden i samband med testning och driftsättning. Detta kommer dock enligt uppgift att hanteras i ett nytt verktyg (helpdesksystem) som ska införas inom kort. IT-enheten har s.k. servicefönster för uppdateringar var fjärde tisdagskväll samt några helger om året. Tidplanen publiceras på intranätet. Det finns ett flertal system som kräver regelbundna uppdateringar men framförallt är det Microsoft-patchar och uppdateringar i DHS som är under aktiv förvaltning. En acceptanstestmiljö håller på att byggas upp, primärt för Sharepoint-applikationer som DHS men även för övriga system. Acceptanstester görs idag endast för vissa system eftersom acceptanstestmiljöer inte finns uppbyggda för alla system. Problem uppstår ibland i förvaltningsfasen när en produkt har driftsatts om IT inte varit involverade/informerade i utvecklingen. Socialstyrelsen 14 (21)

6 Förbättringsområden, bedömningar och rekommendationer Utifrån resultatet av vår granskning har vi identifierat ett antal förbättringsområden där vi ser att Socialstyrelsen behöver vidta åtgärder. Nedan ges en sammanställning och bedömning av respektive förbättringsområde, vilket följs av detaljerade beskrivningar av förbättringsområde, risk och rekommendation. Internrevisionen har i respektive förbättringsområde gjort en bedömning av risken. Har risken bedömts vara kritisk är revisionsbedömningen mycket otillfredsställande (röd). Anses risken vara mycket väsentlig är revisionsbedömningen otillfredsställande (orange). Anses risken som väsentlig är revisionsbedömningen delvis otillfredsställande (gul). Är risken mindre väsentlig är revisionsbedömningen tillfredsställande (grön). bedömning för samtliga identifierade förbättringsområden. Förbättringsområde 1. 2. 3. 4. 6.1.1 Otydliga roller och processer för styrning av ITutveckling 1 6.1.2 Otydlig beslutsprocess avseende IT-utvecklingsprojekt 2 6.1.3 Avsaknad av IT-strategi ökar osäkerheten kring ITutvecklingsbeslut 2 6.2.1 Socialstyrelsens projektstyrningsmodell är bristfällig 2 6.2.2 Bristfällig projektuppföljning 2 6.2.3 Otydliga riktlinjer för kostnadsredovisning 2 6.2.4 Bristande hantering av projektavslut 2 6.2.5 IT-enheten saknar resurser med tillräcklig erfarenhet 3 från projektarbete 6.3.1 Systemförvaltningsmodellen saknar rollbeskrivningar 3 6.3.2 Avsaknad av struktur och process för hantering av 1 förändringsbehov 6.3.3 Otydligt ansvar för förvaltning av SAS-systemen 2 6.3.4 Process för systemutveckling saknas 2 Socialstyrelsen 15 (21)

6.1 Styrning av IT-utveckling inom myndigheten 6.1.1 Otydliga roller och processer för styrning av IT-utveckling Det finns en otydlighet och osäkerhet kring såväl roller och ansvar som processer avseende utveckling av Socialstyrelsens IT-system. Det finns inte en process för prioritering och resursplanering av utvecklingsprojekt och det finns inte någon övergripande samordning, koordinering och uppföljning av pågående och planerade utvecklingsprojekt. en är att utvecklingsprojekt startas och implementeras som: - inte är förankrade i högsta ledningen - inte har de rätta förutsättningarna och resurserna - inte på ett kostnadseffektivt och säkert sätt kan driftas inom Socialstyrelsens tekniska plattform - har negativ påverkan på andra pågående utvecklingsaktiviteter - inte efterfrågas av verksamheten Detta kan i sin tur leda till merkostnader för myndigheten. Socialstyrelsen har ett stort behov av att skapa en tydlig struktur och enhetliga processer för styrning av sina IT-utvecklingsaktiviteter. En utvecklingsprocess skulle behöva tas fram och kommuniceras med tydliga riktlinjer och rutiner för enhetlig hantering av samordning, koordinering, resursplanering och uppföljning av pågående och planerade utvecklingsprojekt. Vår bedömning är att dessa nya processer och arbetssätt ej kan åstadkommas med befintliga roller och resurser. De roller som vi rekommenderar att införa är följande: En övergripande IT-strateg rekryteras till GD-staben/Administrativa avdelningen med främst följande arbetsuppgifter: o ansvara för Socialstyrelsens användning av IT o systemägare för den gemensamma IT-infrastrukturen o ansvara för Socialstyrelsens IT strategi och dess genomförande o representera beställaren av IT-stöd (verksamheten) gentemot leverantören (ITenheten eller annan leverantör) o medverka i styrgrupp (eller motsvarande) för samtliga myndighetsgemensamma eller mer omfattande IT-utvecklingsprojekt o ansvara för sammanställning och uppföljning av Socialstyrelsens samtliga pågående och planerade IT-utvecklingsprojekt En eller flera kundansvariga rekryteras/utses inom IT-enheten med främst följande arbetsuppgifter: o ansvara för mottagning av önskemål om resurser/medverkan från IT-enheten för såväl avdelningsspecifika som myndighetsgemensamma IT-utvecklingsprojekt o hantera all mottagning av förändringsbehov från verksamheten i de fall tydliga kommunikationskanaler inte redan finns etablerade inom systemförvaltningsmodellen o ha kontinuerliga uppföljningsmöten med sakavdelningarna avseende verksamhetens IT-behov där även IT-strategen bör medverka En eller ett fåtal utpekade IT-samordnare/IT-beställare utses per avdelning med främst följande arbetsuppgifter. o ansvara för koordinering av förändringsbehov i IT-stödet inom avdelningen Socialstyrelsen 16 (21)

o agera språkrör gentemot IT-enheten och förmedla avdelningens förändringsbehov och IT-resursbehov i utvecklingsprojekt med kundansvarig inom IT-enheten o medverka i regelbundna uppföljningsmöten med kundansvarig på IT-enheten Vi rekommenderar även att IT-strategen och IT-samordnarna/IT-beställarna träffas regelbundet (exempelvis månadsvis) i någon form av IT-beställarforum för att diskutera myndighetsgemensamma IT-utvecklingsbehov. 6.1.2 Otydlig beslutsprocess avseende IT-utvecklingsprojekt Det finns inte en tydlig struktur för beslut kring IT-investeringar och IT-utvecklingsprojekt. Det är oklart vilka beslut som ska fattas av GD och vilka som kan hanteras inom avdelningarna. Beslutade IT-utvecklingsprojekt är inte heller samordnade och kopplade till den ordinarie planeringsprocessen och verksamhetsplanerna. Det har också framkommit att beslut ofta tas utan ändamålsenliga och väl underbyggda beslutsunderlag. Otydlighet i beslutshantering och koppling till planeringsprocessen ökar risken för att resurser utnyttjas ineffektivt och försvårar möjligheten till god planering och styrning av projekt. Undermåliga beslutsunderlag kan leda till felaktiga beslut med misslyckade investeringar som följd. Vi rekommenderar att Socialstyrelsen tydliggör processen för beställning och beslut av utvecklingsprojekt inklusive mallar för framtagande av väl underbyggda beslutsunderlag för utvecklingsbehov. 6.1.3 Avsaknad av IT-strategi ökar osäkerheten kring IT-utvecklingsbeslut Avsaknaden av en formellt beslutad IT-strategi ökar osäkerheten kring strategiska investeringar och utvecklingsaktiviteter. IT-strategin bör bygga på myndighetens strategier och omfatta de strategier och mål som styr hur information ska hanteras och användas på bästa sätt inom verksamheten. IT-strategin bör sedan även brytas ned till mer operativa handlingsplaner. Utan IT-strategi ökar risken att IT-utvecklingsprojekt och IT-investeringar leder till dysfunktionella och komplexa systemmiljöer, vilket är både kostnadsineffektivt och försvårar underhåll och förvaltning. Vi rekommenderar att en IT-strategi upprättas inom Socialstyrelsen. Upprättandet kan hanteras av en eventuell IT-strateg alternativt IT-enheten, men bör fokusera på verksamhetens strategiska behov av IT-stöd i sina processer och bör därmed tas fram genom omfattande samverkan med verksamheten. Socialstyrelsen 17 (21)

6.2 Styrning och hantering av enskilda utvecklingsprojekt 6.2.1 Socialstyrelsens projektmodell är bristfällig Socialstyrelsens projektmodell är inte uppdaterad, är inte ändamålsenlig avseende IT-projekt och efterlevs inte. Bland annat saknar modellen tydliga riktlinjer kring statusrapportering och information avseende användning av styrgrupper i projekten. Utan en tydlig projektmodell ökar risken för att väsentliga kontrollmoment och beslutspunkter ej beaktas i IT-utvecklingsprojekt vilket kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen antingen revideras eller byts ut för att svara upp mot kraven vid IT-utvecklingsprojekt. Det finns ett flertal etablerade projektstyrningsmodeller som kan användas som utgångspunkt i det fall Socialstyrelsen vill bygga sin egen modell. 6.2.2 Bristfällig projektuppföljning Den löpande projektuppföljning som generellt sker avser främst projektets framfart och tar inte hänsyn till viktiga aspekter såsom budgetuppföljning, avvikelsehantering och löpande riskanalyser. Det finns även en stor osäkerhet kring styrgruppens roll kopplat till projektuppföljning. Bristfällig uppföljning av projektets kostnader och risker kan leda till såväl kvalitetsbrister i leveransen som onödigt höga kostnader. Vi rekommenderar att projektmodellen kompletteras med tydliga riktlinjer kring löpande uppföljning och statusrapportering. Vi rekommenderar att samtliga verksamhetsutvecklingsprojekt där IT-utveckling ingår har en styrgrupp som representant för beställaren av projektet. Denna bör regelbundet följa upp projektet genom styrgruppsmöten där projektledaren rapporterar status t.ex. månatligen. 6.2.3 Otydliga riktlinjer för kostnadsredovisning Det finns inte internt utarbetade anvisningar och rutiner för vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång i samband med utvecklingsprojekt 8. I Socialstyrelsens interna anvisningar för redovisning av immateriella anläggningstillgångar Beskrivning av immateriella investeringar (2010-11-03) finns det inte angivet vilka kostnader som ska ingå i anskaffningsvärdet för en internt upparbetad immateriell anläggningstillgång. Rutinerna för redovisning av kostnader i samband med utvecklingsprojekt är också oklara vad avser gränsdragningen mellan det som tillgångsredovisas respektive kostnadsförs. I Kunskapsportalprojektet kostnadsförs exempelvis samtliga lönekostnader 8 ESV:s handledning om immateriella anläggningstillgångar (ESV 2002:3) finns publicerad på intranätet Socialstyrelsen 18 (21)

inklusive kostnaden för den personal som deltar direkt i arbetet med att ta fram tillgången (Kunskapsportalen). Avsaknad av anvisningar och rutiner kring kostnadsredovisning medför risk för att bestämmelserna i föreskrifterna till 5 kap. 3 FÅB (Förordning (2000:605) om årsredovisning och budgetunderlag), om att i anskaffningsvärdet för en förvärvad tillgång ska räknas in kostnader som är direkt hänförliga till förvärvet, inte efterlevs. Detta är fallet i Kunskapsportalprojektet Nationell webbaserad kunskapsportal där kostnaderna för den personal som deltar direkt i att ta fram tillgången kostnadsförs. Vi rekommenderar att Ekonomienheten förbättrar och förtydligar rutinerna och anvisningarna för redovisning av internt upparbetade immateriella anläggningstillgångar med avseende på vilka kostnader som ska ingå i anskaffningsvärdet. Rutinerna för uppföljning av nedlagda kostnader bör också förbättras i respektive utvecklingsprojekt. 6.2.4 Bristande hantering av projektavslut Det finns inte enhetliga och tydliga rutiner för projektavslut och överlämning till drift och förvaltning. Kommunikationen har många gånger varit bristande vid överlämning av projekt till förvaltning. I utvecklingsprojekt anlitas ofta konsulter som även medverkar vid driftsättning. Problem uppstår när konsulterna lämnar projektet till drift då oklarheter kring roller och ansvar förekommer. I de fall förvaltningsorganisationen saknar tillräckliga resurser och utbildning för att hantera en större förändring i IT-stödet ökar risken för driftstörningar och bristande hantering av verksamhetens information. Vi rekommenderar att enhetliga rutiner och kontrollpunkter införs i projektstyrningsmodellen för att säkerställa att förvaltningsorganisationen har de resurser och kompetenser som krävs för en tillfredsställande drift och förvaltning. 6.2.5 IT-enheten saknar resurser med tillräcklig erfarenhet från projektarbete Flera representanter från verksamheten har i intervjuer lyft fram att det är svårt att få tillgång till IT-resurser med rätt kompetens i projekten. En anledning till detta är att IT-enheten enligt uppgift främst består av plattformstekniker och supportkunniga. Dessa saknar generellt den erfarenhet och kompetens som efterfrågas vid medverkan i projekt och styrgrupper som drivs av verksamheten. IT-enheten har idag för få resurser med verksamhetsförståelse och kompetens att omvandla verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. Socialstyrelsen 19 (21)

Utvecklingsprojekt utan IT-resurser som stödjer arbetet med att förbättra och effektivisera verksamhetens användning av IT riskerar att resultera i systemstöd med såväl bristande ändamålsenlighet som driftsäkerhet. Vi rekommenderar att Socialstyrelsen ser över möjligheten att antingen genom utbildning eller genom rekrytering höja spetskompetensen inom IT-enheten när det gäller omvandling av verksamhetens önskemål och krav till IT-utvecklingsaktiviteter. 6.3 Hantering av löpande systemförvaltning och ITutvecklingsaktiviteter 6.3.1 Systemförvaltningsmodellen saknar rollbeskrivningar Den nya systemförvaltningsmodellen är ett bra initiativ men saknar tydliga beskrivningar av rollerna systemägare och systemförvaltare som i modellen ska definieras. Utan en tydlig beskrivning av vad rollerna innebär ökar risken för att modellen inte används på ett ändamålsenligt sätt. Vi rekommenderar att Socialstyrelsen fortsätter införandet av den nya systemförvaltningsmodellen men att den kompletteras med en tydlig beskrivning av rollerna systemägare och systemförvaltare. 6.3.2 Avsaknad av struktur och process för hantering av förändringsbehov Det har vid granskningen framkommit att det inte finns en struktur och process för såväl kravställning som mottagande av förändringsbehov kopplat till IT-stödet. Idag sker kravställning avseende förändringsbehov kopplat till IT-stödet ad hoc. Ibland sker det genom muntlig kontakt med enskilda individer på IT-enheten medan det ibland sker formellt i form av PM eller liknande. Det finns ingen enhetlig struktur för hur förändringsbehov ska kommuniceras mellan verksamheten och IT-enheten eller andra leverantörer. Utan en tydlig process och tydliga roller för kommunikation av förändringsbehov avseende IT-stödet ökar risken för att förändringsbehoven hanteras av enskilda individer som kanske saknar tillräcklig helhetsbild och rätt kompetens för att hantera behovet på bästa sätt. Vi rekommenderar att Socialstyrelsen skapar en enhetlig process för beställning av förvaltnings- och IT-utvecklingsärenden till IT-enheten (och andra leverantörer). Ju mer det går att renodla kommunikationsvägarna desto bättre. Vi föreslår därför att varje avdelning utser en eller ett fåtal IT-samordnare/IT-beställare med ansvar att koordinera förändringsbehov i IT-stödet inom avdelningen och agera språkrör gentemot IT-enheten. Socialstyrelsen 20 (21)

Rollen innebär att vara förmedlare och kanal för information mellan chefer och verksamhet inom en avdelning till/från IT-enheten. På IT-enheten å andra sidan rekommenderar vi att en eller ett fåtal kundansvariga rekryteras/utses med ansvar att ta emot förändringsbehov från verksamheten och se till att rätt resurser hanterar dessa förfrågningar. Alla förändringsbehov i IT-stödet bör gå genom dessa personer där det inte redan finns fastställda kommunikationskanaler inom systemförvaltningsmodellen. Kundansvariga bör även ha kontinuerliga uppföljningsmöten med avdelningarnas IT-samordnare/IT-beställare avseende verksamhetens IT-behov där även IT-strategen kan medverka. 6.3.3 Otydligt ansvar för förvaltning av SAS-systemen Systemförvaltningen avseende de register och databaser som främst används av avdelningen Statistik och utvärdering och hanteras i SAS-system har inte fungerat tillfredsställande under en längre tid. Verksamheten som arbetar med statistikregistren har inte lyckats komma överens med IT-enheten om en för båda parterna acceptabel förvaltning. Utan en tydlig process och förvaltningsstrategi avseende SAS-systemen ökar risken för att informationen i systemen inte hanteras ändamålsenligt vilket kan medföra bristande kvalitet och effektivitet i verksamheten. Vi rekommenderar att systemförvaltningskontrakt upprättas för samtliga väsentliga register och databaser i enlighet med den nya systemförvaltningsmodellen för att i möjligaste mån tydliggöra ansvaret för förvaltning av systemen. Vi rekommenderar också att det framgår av Socialstyrelsens plattformsstrategi huruvida SASsystemen ingår i myndighetens långsiktiga val av IT-system. 6.3.4 Process för systemutveckling saknas Inom Socialstyrelsen finns ingen formell rutin eller process för hur systemutveckling ska hanteras. En sådan rutin bör exempelvis inkludera riktlinjer för kravställning, systemdokumentation, testning och driftsättning. Utan en tydlig process för systemutveckling och systemförändringar ökar risken att ändringar ej hanteras på ett korrekt, tydligt och konsekvent sätt. Bristande dokumentation från systemförändringar försvårar möjligheten att följa och logga en ändring genom processen samt ökar risken för att icke godkända ändringar blir driftsatta. En konsekvens av detta kan vara driftstörningar eller att verksamhetskritiska system inte fungerar i enlighet med uppsatta krav och mål. Vi rekommenderar att en enhetlig process för myndighetens systemutveckling tas fram och fastställs. Processen bör omfatta all systemutveckling inom Socialstyrelsen, även sådan som utförs av konsulter och externa leverantörer. Socialstyrelsen 21 (21)