Granskning av IT-hanteringen

Relevanta dokument
Revisionsrapport. Granskning av IT-hanteringen inom Vård- och omsorgsförvaltningen. Katrineholms kommun

Hantering av ITverksamheten

Revisionsrapport IT-verksamheten

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Hallstahammars kommun

Revisionsrapport Styrning och ledning av IT och informationssäkerhet

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Uppföljning av revisionsrapport om kommunens IT-hantering från 2010

Regler och instruktioner för verksamheten

Granskning av kommunens IT-hantering

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Revisionsrapport. Söderhamns kommun. Översiktlig granskning kring kommunens IT-hantering. December Göran Persson Lingman, Louise Cedemar

Informationssäkerhet - Informationssäkerhetspolicy

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Informationssäkerhetspolicy för Katrineholms kommun

Granskning av IT i skolan Söderhamns kommun

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

IT-verksamheten, organisation och styrning

Uppföljning - granskning av kommunens IThantering

Granskning intern kontroll

Granskning av Intern kontroll

Granskning av kommunens arbete med chefs- och ledarskapsfrågor

Granskning av ekonomistyrningen i Knivsta kommun

Kommunens ITorganisation

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Informationssäkerhetspolicy

IT-säkerhetspolicy Instruktion Kommunfullmäktige. Senast reviderad Beskriver IT-säkerhetarbetet.

Revisionsrapport. Kalmar kommun. Förstudie av personalsystemet. Caroline Liljebjörn. 10 oktober 2011

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Informationssäkerhetspolicy för Ånge kommun

Dnr

Riktlinjer för Grästorps kommuns strategiska IT-arbete

Revisionsrapport Granskning av intern kontroll Joanna Hägg Tilda Lindell Tierps kommun September 2014 pwc

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

EDA KOMMUN. nformationssäkerhet - Informationssäkerhetspolicy

Revisionsrapport E-förvaltning: molntjänster Skellefteå kommun Bo Rehnberg Cert. kommunal revisor

Informations- och kommunikationsteknologi. Smedjebackens kommun

IT-Policy för Tanums kommun. ver 1.0. Antagen av Kommunfullmäktige

Informationssäkerhetspolicy

Revisionsrapport. Internkontroll - Finspångs kommun år Ref R Wallin

INTERN STYRNING OCH KONTROLL KOMMUNSTYRELSEN LIDKÖPINGS KOMMUN. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Granskning av intern kontroll. Söderhamns kommun. Revisionsrapport. Februari Micaela Hedin Certifierad kommunal revisor

System- och objektförvaltning - roller

IT-policy. Styrdokument, policy Kommunledningskontoret Per-Ola Lindahl

Övergripande granskning av kommunstyrelsens styrning och uppföljning av ekonomi och verksamhet (styrmodell)

KOMMUNAL FÖRFATTNINGSSAMLING Nr 005.6

Hantering av IT-risker

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga

Granskning av kommunens arbete med chefs- och ledarskapsfrågor

Översiktlig granskning av IT-säkerheten

Granskning av hur väl stödet av ekonomitjänster fungerar

Policy och strategi för informationssäkerhet

IT-strategi-Danderyds kommun

INTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Samspel politik och förvaltning

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Revisionsrapport Söderhamns kommun

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Ansvarsutövande: Överförmyndarnämnden

Granskning av kommunens ekonomistyrning

Revisionsrapport Ledningssystemet Stratsys

Förstudie: Övergripande granskning av ITdriften

Personal- och kompetensförsörjning

Verksamhetsplan. för IT. Diarienummer: Ks2014/ Gäller från: Fastställd av: Kommunstyrelsen

Informationssäkerhetspolicy

Intern kontroll och riskbedömningar. Sollefteå kommun

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för internkontroll i Kalix kommun

Granskning av styrsystemet MORA PLUS IT

IT-säkerhetspolicy. Fastställd av KF

Hantering av IT inom Vimmerby kommun

Ansvarsutövande: Kommunstyrelsen Sundsvalls kommun

Granskningsrapport Övergripande granskning kring hantering av IT

Informationssäkerhetspolicy för Ystads kommun F 17:01

Protokollsutdrag. 346 Revisionsrapport Uppföljning IT-säkerhet och införande av dataskyddsförordningen - svar Dnr KS/2018:384

INTERN STYRNING OCH KONTROLL. - Resultat av en webbenkät genomförd på uppdrag av kommunens revisorer

Informationssäkerhetsanvisningar Förvaltning

Uppföljande granskning av kommunstyrelsens förebyggande arbete avseende mutor och oegentligheter

Informationssäkerhetspolicy

Leksands kommun. Revisionsrapport. Sammanfattning Kommunstyrelsens ansvar för ledning, styrning och uppföljning av kommunkoncernens.

Övergripande granskning av ITverksamheten

Riktlinjer för styrdokument Örebro kommun

Landstingets ärende- och beslutsprocess - uppföljning

Revisionsrapport Budgetprocessen Pajala kommun Anna Carlénius Revisonskonsult

Ansvarsutövande: Barn- och utbildningsnämnden Sundsvalls kommun

Uppföljning av revisionsrapport Kommunala aktivitetsansvaret i Lysekils kommun januari 2019

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Uppföljning av revisionsrapporten "Investeringsprocessen Bollnäs Kommun

Översiktlig granskning av kommunens arbete med att säkerställa en tillräcklig intern kontroll Smedjebackens kommun

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Ansvarsutövande: Miljönämnden Sundsvalls kommun

Nämndens styrning och interna kontroll av verksamheten

Revisionsrapport stöd till användarna av IT-system i vårdverksamheterna, Landstinget i Östergötland

Informationssäkerhet, Linköpings kommun

Svar på revisionsrapport Granskning av avvikelsehantering Region Kronoberg

Systemförvaltning. där delarna bli till en helhet. Styrning. Organisation. Processer. Jessika Svedberg, Kommunkansliet

Ekonomi- och målstyrning inom barn- och. genomförd granskning

Transkript:

Revisionsrapport Granskning av IT-hanteringen Katrineholms kommun Göran Persson Lingman Thomas Lidgren Januari 2013

Innehållsförteckning Sammanfattning och revisionell bedömning 3 1 Bakgrund och resultat 5 1.1 Bakgrund 5 1.2 Metod och avgränsning 5 2 Resultat 6 2.1 Finns styrande dokument och riktlinjer och är dessa tillräckligt kommunicerade 6 2.2 Sker uppföljning av styrande dokument och riktlinjer 9 2.3 Är roller och ansvar kring IT användning tillräckligt tydliga? 11 2.4 Finns forum för kommunikation kring krav och uppföljning 13 2.5 Sker uppföljning och kontroll avseende IT-relaterade kostnader? 14 2.6 Kontroll avseende IT-relaterade störningar 15 Bilaga 1 Tydlighet kring roller m.m. (användarsvar) Bilaga 2 IT-relaterade störningar (användarsvar)

Sammanfattning och revisionell bedömning En allt större del av kommunens verksamhet är beroende av IT-stöd och den utveckling som IT erbjuder. IT-stödet inom kärnverksamhet som omsorg och skola visar ofta på störningar och risker för effektivitet och säkerhet. Det är viktigt att det finns en god styrning och kontroll av IT-hanteringen. Revisorerna har lyft IT-området i sin väsentlighets- och riskanalys och valt att granska Kommunstyrelsens arbete kring detta under 2012. Vår övergripande revisionsfråga var följande: Finns tillfredsställande styrning och uppföljning av IT-verksamheten? Frågan avgränsades till ett antal kontrollmål. Vi gör bedömningen att inom de kontroller vi genomfört sker styrning och uppföljning på ett delvis tillfredsställande sätt. Avseende flera av de områden där vi identifierat behov av utveckling pågår ett förbättringsarbete. Våra kommentarer sammanfattas nedan: Även om de kommungemensamma dokumenten är i behov av revidering så finns flera bra dokument som stödjer rollfördelning, säkerhet avseende användning och arbetssätt. De kommungemensamma dokumenten är dock inte tillräckligt införda inom förvaltningen. Vi kan dock konstatera att ett förbättringsarbete pågår kring styrande dokument. Det är positivt med den förbindelse som användare ska skriva på för att säkerställa informationshantering enligt kommunens säkerhetspolicy. Vi föreslår att alla anställda tar del av och skriver på förbindelsen och att det sker en översyn av hur detta ska genomföras. Många användare är osäkra på vilka dokument som finns och vad som berör dem, vilket kräver ett tydliggörande 1. En viktig utgångspunkt är att upprättad dokumentation är aktuell, att den når rätt målgrupp och är begriplig. Det är även viktigt att beakta tydlighet kring hur förändringar i olika dokument kommuniceras. Vi kan konstatera att det är otydligt för många användare var dokument återfinns. Det är viktigt att det sker ett tydliggörande av de informationskanaler som finns kring de IT-relaterade dokumenten. Kommunens IT-vision och IT-strategi bör revideras. 1 Information, utbildning m.m. 3 av 18

Vi bedömer inte uppföljningen (tillsynen) vara tillfredsställande. Vi konstaterar dock att planering pågår för att säkerställa en mer adekvat uppföljning efter genomförda revideringar av olika styrdokument. Det är givetvis viktigt att styrelse och nämnder säkerställer att de styrande dokumenten tillämpas och efterlevs. Vi konstaterar att uppföljning inom området förts in i internkontrollplanen, vilket är positivt. Vi föreslår att arbetet med att ta fram det diagnostiska testet prioriteras och genomförs. Testet bör kunna utgöra ett bra underlag för tillsyn och ständiga förbättringar. Nuvarande forum uppfattar vi hanterar de operativa frågorna, men det saknas ett forum för mer strategiska frågor inom IT området. Ett sätt att lösa detta kan vara att inrätta en IT styrgrupp för att få mer fokus på strategiska IT-relaterade frågor. Väsentligt är att på övergripande nivå ha ett forum som hanterar nyttoeffekter, prioriteringar och budget samt hanterar risker och problem ur ett kommunövergripande perspektiv. Vi föreslår att nämndernas kostnadsuppföljning avseende IT ses över och att det säkerställs att det finns underlag för att enklare se samtliga IT-kostnader i kommunen. Ett förslag är att systemen tilldelas olika nummer som används i någon koddel. Genom att redovisa på detta sätt underlättas nämndernas möjlighet till att effektivt följa deras IT-relaterade kostnader. Det finns indikatorer på att det förekommer flera IT-relaterade störningar. Vi föreslår att detta ses över och dokumenteras inom varje nämnd. 4 av 18

1 Bakgrund och resultat 1.1 Bakgrund En allt större del av kommunens verksamhet blir beroende av IT-stöd och den utveckling som IT möjliggör. IT-stödet inom kärnverksamhet som omsorg och skola visar ofta på störningar och risker för effektivitet och säkerhet. Det är viktigt att det finns en god styrning och kontroll av IT-hanteringen. Revisorerna har lyft IT-området i sin väsentlighets- och riskanalys och valt att granska Kommunstyrelsens arbete kring detta under 2012. Revisionsfråga Granskningen ska besvara följande revisionsfråga: Finns tillfredsställande styrning och uppföljning av IT-verksamheten? Frågan avgränsades till nedanstående kontrollfrågor/mål Finns styrande dokument och riktlinjer och är dessa kommunicerade på ett tillräckligt sätt? Sker uppföljning av styrande dokument och riktlinjer? Är roller och ansvar kring IT-användning tillräckligt tydliga? Finns forum för kommunikation kring krav och uppföljning? Sker uppföljning och kontroll avseende IT-relaterade kostnader? Sker kontroll avseende IT-relaterade störningar? 1.2 Metod och avgränsning Granskningen avgränsas till Kommunstyrelsens ansvarsområde för övergripande styrning och kontroll. Granskningen har genomförts via intervjuer med IT-strateg, ekonomichef, kommunchef. informationssäkerhetssamordnare samt ansvarig för arbetet med ny systemförvaltningsmodell. Alla användare och chefer har haft möjlighet att besvara ett webbaserat svarsformulär med frågor kring IT-hanteringen. På vissa ställen i rapporten visas grafik från enkäten samt ett urval av fritextkommentarer. Vi har främst efterfrågat kommentarer då användare inte instämt i påståendet 2 (svarat inte alls eller till viss del). Färgerna ska tolkas enligt följande. Värden till vänster innebär att användare besvarat frågan med instämmer inte alls eller till viss del. Värden till höger innebär att användare besvarat med i huvudsak eller helt. 2 Efter att användare haft svarsalternativen helt, i huvudsak, till viss del, inte alls fanns texten Om du svarar till viss del eller inte alls. Kommentera om du upplever problem med detta och/eller vilka konsekvenser detta ger 5 av 18

Siffror i liggande staplar visar antalet svarande. Gråvit färg innebär att användare besvarat med vet ej. Granskningsobjekt är i första hand kommunstyrelsen, men vissa frågor berör dock samtliga nämnder. 2 Resultat 2.1 Finns styrande dokument och riktlinjer och är dessa tillräckligt kommunicerade Iakttagelser Vi har tagit del av flera dokument som utgör underlag till styrning och en effektiv och säker IT-hantering. Iakttagelser över vilka dokument som finns samt status redovisas nedan. Informationssäkerhetspolicy, som riktas till alla användare av IT inom kommunen, beslutat av kommunfullmäktige (2010-05-04 handling 311/2010). Revidering pågår av detta dokument. Sedan 2004 ska alla som får ett konto i nätverket läsa informationssäkerhetspolicyn och skriva under att man läst den (ansvarsförbindelse). IT-policy, anger grundprinciper för anställdas och förtroendevaldas ITanvändning. Dokumentet är fastställt av kommunfullmäktige 2004-10-18 149. Det anges att detta är ett inaktuellt dokument som kommer att tas bort efter att informationssäkerhetspolicyn är reviderad. IT-strategi som är antagen av kommunstyrelsen 2008-06-18, 133. Dokumentet ska användas som underlag för framtida utveckling. (Används för den framtida styrningen av infrastruktur, system och kapacitet hos IT-leverantören). Enligt uppgifter finns behov av att revidera dokumentet. Vision för IT i Katrineholm, kommunstyrelsen 2007-08-20, är det övergripande styrinstrumentet till IT-strategin som visar hur kommunens ledning ser på informationsteknikens roll mot medborgaren, kommunens verksamhet och det omgivande samhället. Aktuellt dokument. Informationssäkerhetsinstruktion för användare 2010-05-21, beskriver användarens ansvar, t.ex. användning av nätverket, hantering av e-post, internet, lösenord m.m. Vidare beskrivs regler och rutiner kring informationssäkerhet samt tydliggörs roller. Dokumentet är aktuellt, men det pågår ett revideringsarbete. Alla användare berörs av dokumentet. De som anställts efter 2004 har skrivit på en ansvarsförbindelse att de tagit del av dokumentet. Instruktion för kontinuitet och drift samt förvaltning. 6 av 18

Som omnämnts pågår ett arbete med att uppdatera ovanstående dokument. Arbetet beräknas bli klart under året. Dokumenten ska därefter fastställas av kommunstyrelsen. Det pågår ett arbete med att ta fram en dokumenterad systemförvaltningsmodell. Se mer i avsnitt 2.3. Det finns dokumenterade överenskommelser mellan förvaltningarna och IT-kontoret (SNÖ 3 ). I dessa anges vilka kommungemensamma tjänster som IT-kontoret ska leverera och med vilken servicenivå samt ansvarsfördelningen mellan IT-kontoret och förvaltningarna. Det anges att överenskommelserna inte tillämpats på ett tillräckligt bra sätt. Ett arbete pågår också för att se över vilka kommungemensamma tjänster som ITkontoret ska leverera och med vilken servicenivå, liksom revidering av SNÖ. Eftersom kommunen nu köper tjänster av en extern driftsleverantör anges att det är extra angeläget 4 att tydliggöra vad den externa leverantören ska leverera. Vid intervjuer har det framkommit att de dokument som finns inte införts tillräckligt till olika roller (t ex systemägare, chefer, användare). Ett arbete med att implementera olika dokument är initierat. Användarenkäten Svaren varierar angående kännedom eller ej kring riktlinjer och regler avseende IT- hanteringen (41 svarar inte alls och 259 svarar till viss del). Många användare vet inte var olika dokument återfinns. Grafiken nedan visas användares svar på fråga kring dokument och riktlinjer 3 Service Nivå Överenskommelser (SNÖ) 4 Då driften var intern fanns enligt uppgifter grå zoner och otydligheter där arbetet på ett situationsanpassat sätt utfördes av IT-kontoret. 7 av 18

Exempel på kommentarer från användare Har läst kommunens IT-policy lite, men eftersom den version som fanns att hitta på forum (intranätet kommunen) var för någon månad från 2004! Jag frågade ansvariga om det var den som gällde och då visste de inte. Detta är inte kommunicerat ut till användarna på ett rätt sätt. De flesta som jag pratat med har ingen aning om vad informationssäkerhet innebär. Jag vet inte vad jag kan kräva för hjälp ifrån IT-enheten Svårt att hitta på forum Det försvårar mitt arbete i mitt dagliga arbete då jag använder mig av IT (konsekvens) Får inte möjlighet att lära sig det, det verkar som att verksamheten inte tycker att det är viktigt Finns de på forum? Våra kommentarer Även om de kommungemensamma dokumenten är i behov av revidering så finns flera bra dokumentet som stödjer rollfördelning, säkerhet kring användning och arbetssätt. De kommungemensamma dokumenten är dock inte tillräckligt inarbetade inom förvaltningen. Vi kan dock konstatera att ett förbättringsarbete pågår med att revidera, utveckla och implementera dokumenten. Det är positivt med den förbindelse som användare ska skriva på för att säkerställa informationshantering enligt kommunens säkerhetspolicy. Vi föreslår att alla anställda tar del av och skriver på förbindelsen och att det sker en översyn av hur detta ska genomföras. Många användare är osäkra på vad som finns och vad som berör dem vilket kräver ett tydliggörande 5. En viktig utgångspunkt är att upprättad dokumentation är aktuell, att den når rätt målgrupp och förstås av denna. Det är även viktigt att beakta att förändringar i olika dokument kommuniceras tydligt. Vi kan konstatera att det är otydligt för många användare var dokument återfinns. Det är viktigt att det sker ett tydliggörande av de informationskanaler som finns kring de IT-relaterade dokumenten. Kommunens IT-vision och IT-strategi bör revideras. Se mer om detta i avsnitt 2.4. 5 Information, utbildning m.m. 8 av 18

2.2 Sker uppföljning av styrande dokument och riktlinjer Iakttagelser Det finns en intern kontrollplan där det anges vad som ska följas upp avseende informationssäkerhet och IT-hanteringen. Det har till exempel skett uppföljningar avseende de nyanställdas kännedom avseende informationssäkerhetspolicyn. Uppföljningen har även rapporterats till kommunstyrelsen. (Resultatet av uppföljningen var inte tillfredsställande). Efter att styrande dokument och riktlinjer reviderats och implementerats ser ansvariga behov av att förbättra uppföljningen och på vilket sätt den ska genomföras. Uppföljning anses inte tillräcklig idag. Vid varje kommunstyrelsemöte sker rapportering avseende IT-relaterade frågor 6. Det omnämns att det ska ske kvartalsmöten mellan gruppledare på IT och förvaltningarna. Dessa aktiviteter har dock inte prioriterats under det senaste året. Det pågår ett arbete med att tydliggöra avtalet med den nya IT-leverantören. Det planeras att därefter kontinuerligt följa upp uppfyllelsen av avtalet. Efter att driften övergått till en extern leverantör har det genomförts en nöjdkundundersökning. Detta är även något som gjorts tidigare vilket gett möjlighet till jämförelser. IT-kontoret har förbättrat uppföljningen av ärendestatistiken som underlag för förbättringar. Det pågår en utveckling av ett diagnostiskt test avseende de anställdas grundkompetens i olika IT-frågor, detta är dock ingen prioriterad aktivitet. Två gånger per år genomförs en s.k. penetreringstest 7 av extern leverantör. Användarenkäten Många användare som besvarat vårt formulär anger att det inte sker någon uppföljning. 6 Vid varje KS och till ledningsgruppen rapporteras t.ex. statistik från help desk, e-tjänster etc. Nu senast har byalagsmodellen och utbyggnaden av bredband varit uppe på KS bord. 7 Syftar till att säkra skyddet för extern åtkomst till information (läsa, ändra). 9 av 18

Grafiken nedan visas användares svar på fråga avseende uppföljning Exempel på kommentarer från användare På arbetsplatsträffar Har haft uppföljande information av innehåll i IT-policy på APT Från och med hösten 2012 ska enhetscheferna i medarbetarsamtalen kontrollera att exempelvis ansvarsförbindelser och så vidare finns. Vad jag vet så har ingen uppföljning skett Skulle behöva utvärdera mer kring IT-användning Det antar jag att det gjorts, men jag kan inte säga att jag vet det Som personal diskuterar vi både avtal, lagar och syfte med datorerna med framför allt nya elever som får datorer, samt påminner dem om det behövs. Elevers datorer punktkontrolleras emellanåt. Skolverket visade på förbättringsåtgärder för vår verksamhet. Våra kommentarer Vi bedömer inte uppföljningen (tillsyn) vara tillfredsställande. Vi konstaterar även att det planeras att förbättra uppföljningen efter att olika dokument reviderats. Det är givetvis viktigt att styrelse och nämnder säkerställer att de styrande dokumenten tillämpas och efterlevs. Positivt är att beslut finns om att uppföljning ska ske via internkontrollplanen. Vi föreslår att arbetet med att ta fram det diagnostiska testet prioriteras och genomförs. Testet bör kunna utgöra ett bra underlag för tillsyn och ständiga förbättringar. 10 av 18

2.3 Är roller och ansvar kring IT användning tillräckligt tydliga? Iakttagelser Det har under året genomförts stora förändringar då IT-driften övergått till en extern leverantör (drift, övervakning, backup och servicedesk 8 ). Det som den externa leverantören ska utföra mot kommunen tydliggörs i avtal (tjänster och servicenivåer). Ett tydliggörande av avtalet med den externa leverantören pågår. Ansvar tydliggörs även i olika dokument. Det pågår ett arbete med att revidera dokumenten. (se avsnitt 2.1). I verksamhetsplanen framgår IT-kontorets ansvar för olika områden. Genom övergång till extern leverantör anges att skrivningen i dokumentet måste ses över. En IT-strateg (tidigare IT-chef) arbetar som stöd till förvaltningarna, dels som stöd i verksamhetsutvecklingen men även som en länk (kravställare 9 ) mellan förvaltningarna och den externa IT-leverantören. Inom IT-kontoret finns 5 IT-resurser kvar. IT-resurserna arbetar som systemförvaltare för gemensamma system. Det pågår även ett införande av att förbättra IT-kontorets stödjande roll mot olika förvaltningar (kundansvar, service mot förvaltningar). Det anges att tydligheten kring olika roller och samspelet mellan olika roller behöver förbättras (systemägare, systemförvaltare m.fl.) 10. Se även bilaga 1. Vi har fått uppgifter som tyder på att det finns systemförvaltare som inte har tillräckligt med resurser för uppgiften samt att det finns systemägare som inte är tillräckligt aktiva i sin roll (rollen kan även vara otydlig för systemägaren). Det pågår ett arbete med att införa en gemensam systemförvaltningsmodell inom kommunen i syfte att bland annat tydliggöra ansvar, roller och samarbetet dem emellan. Ett arbete med att implementera modellen har nyligen initierats. Modellen beräknas stödja IT-verksamheten i arbetet att möta verksamheternas krav. Vi har tagit del av modellen kring systemförvaltning. Det finns en informationssäkerhetssamordnare inom kommunen. Befattningshavaren har även andra uppgifter inom IT-kontoret. Det finns en arbetsgrupp för informationssäkerhet (IT-strateg, säkerhetschef och informationssäkerhetssamordnare). Idag rapporterar informationssäkerhetssamordnaren till IT-strategen, men det pågår en översyn av rollen. Något som diskuteras är att säkerhetschefen tillsammans med informationssäkerhetssamordnaren kan utgöra en funktion kring informationssäkerhet. Efter att delar av IT-hanteringen nyligen har övergått till extern leverantör uppges det att det finns många otydligheter när det gäller befogenheter, resurser, budget och ansvar. 8 Helpdesk, hantering av fel och problem m.m. 9 Arbetar med krav och uppföljning med stöd av avtalet. 10 Idag får IT-kontoret många gånger frågor som rör användning av ett system. 11 av 18

De gemensamma IT-resurserna finansieras via intäkter från förvaltningarna. Det anges att IT-kontoret vanligtvis får kännedom om vilka investeringar som krävs i resurser och infrastruktur i tillräcklig tid. Dock anges att de inte själva kan råda över den kapacitet som krävs för att leverera en tillräcklig infrastruktur. Det pågår ett arbete med informationsklassning och riskanalyser av kommunens system via verktyget BITS Plus. Underlagen kommer att användas för att bl.a. tydliggöra kraven mot den externa leverantören (tjänster och servicenivåer SLA). Användarenkäten Svaren från användare varierar vad avser tydlighet i roller och ansvar. I bilaga 1 finns mer grafik avseende frågeställningar kring tydlighet. Grafiken nedan visas användares svar på frågor om roller och ansvar Jag har full kännedom och hjälp av it-ombudet på min skola, men har i övrigt ingen aning om vem eller hur man får bästa och framförallt snabbaste hjälpen. Kan bli tydligare vilka som ansvarar för system och informationssäkerhet. Otydligt var gränsen går vems ansvar som ligger var. Tror systemägaren ansvarar för support och underhåll av ett system med stöd av IT-kontoret, men det är inte alltid uppenbart vem som ansvarar för respektive system. Jag ringer IT och får alltid bra stöd. Inget problem. Jag förutsätter att de som vet sköter det. Ansvaret över informationssäkerhet är otydlig för mig och det kan ställa till problem om det händer något oväntat Man får ofta svaret "då får du vända dig till..." och när man gör det är det ändå inte rätt ställe. Det tar en massa tid att få problem åtgärdade. Tydligare information om ansvarsområden önskas Det är mängder med saker som är oklart när det gäller IT och olika system. Vi håller på och byter system nu och det går inte smidigt. Utbildning i hur man använder de nya systemen borde givetvis har givits till all personal, 12 av 18

Vet inte vilken person, som ansvarar för informationssäkerheten. Det har inte varit någon presentation av IT-kontorets personal och vem, som ansvarar för vad. Våra kommentarer Vår bedömning är att roller och ansvar inte är tillräckligt tydliga 11. Ansvar finns beskrivna i olika dokument, men beskriven ansvarsfördelning är idag otillräckligt införd inom förvaltningarna. Vi konstaterar att det pågår ett förbättringsarbete med att revidera styrande dokument. Därefter planeras ett införande av dokumenten. Den systemförvaltningsmodell vi tagit del av synes vara väl genomarbetad. Enligt vår uppfattning kommer denna sannolikt att bidra till en ökad tydlighet och en effektiv hantering. Det är viktigt att styrelsen och nämnderna säkerställer att det arbetet som pågår avseende analyser kring information och system genomförs som planerat (klassificering, riskvärdering, prioriteringar etc.). Arbetet är bl.a. viktigt för att tydliggöra kraven på olika roller. Ansvaret för att arbeta med stöd och uppföljning avseende de kommungemensamma dokumenten bör tydliggöras. Förslagsvis bildar informationssäkerhetssamordnaren och säkerhetschefen en funktion som rapporterar direkt till kommunledningen (kommunstyrelse, kommunchef). 2.4 Finns forum för kommunikation kring krav och uppföljning Iakttagelser Inom kommunen finns ett IT-råd vilket IT-strategen är ansvarig för. Möten sker regelbundet. Förvaltningschefer ingår inte i IT-rådet, men varje förvaltning är representerad. Vissa av deltagarna rapporterar direkt till sin förvaltningschef, men inte alla. Periodvis har deltagande i forumets möten inte prioriterats av vissa förvaltningar. 11 Vad ska göras av IT-enheten, IT-ansvariga vid förvaltningen, informationssäkerhetsamordnaren, systemägare. Vem är ansvarig och utförare, När bör olika roller/intressenter konsulteras informeras. Vad bör användare känna till kring vem som gör vad. 13 av 18

Detta innebär att rådet har fått en mer operativ 12 än strategisk karaktär. Det finns idag inte något annat forum där enbart IT-resurser möts. Det förs diskussioner över IT-rådets sammansättning. Det anges att IT kommuniceras regelbundet inom kommunledningsgruppen men ITstrategen eller ansvarig för IT-kontoret deltar vanligtvis inte vid dessa möten. IT-strategen ser behov av att i ökad utsträckning kommunicera IT-strategi och ITvision. Det finns behov att revidera strategin och visionen. Inom varje förvaltning kommuniceras IT på ett varierade sätt, t.ex. beaktas IT-frågor i de verksamhetsanknutna handlingsplanerna. Våra kommentarer Nuvarande forum uppfattar vi hanterar de operativa frågorna, men det saknas ett forum för mer strategiska frågor inom IT området. Ett sätt att lösa detta kan vara att inrätta en IT styrgrupp för att få mer fokus på strategiska IT-relaterade frågor. Väsentligt är att på övergripande nivå ha ett forum som hanterar nyttoeffekter, prioriteringar och budget samt hanterar risker och problem ur ett kommunövergripande perspektiv. 2.5 Sker uppföljning och kontroll avseende ITrelaterade kostnader? Iakttagelser De flesta IT-kostnader/utgifter för till exempel datorer samt kommungemensamma kostnader belastar först IT-kontoret. Därefter fördelas kostnader ut till förvaltningarna. Det har nyligen tagits fram nya fördelningsnycklar. Avseende verksamhetsspecifika system tas kostnaden direkt av förvaltningen. Det finns ingen möjlighet att enkelt ta ut rapporter från redovisningssystemet över vad ett system kostar. IT-frågor kommuniceras regelbundet till kommunstyrelsen, dock anges att det inte är något fokus på IT-relaterade kostnader. Våra kommentarer Vi föreslår att nämndernas kostnadsuppföljning avseende IT ses över och att det säkerställs att det finns underlag för att enklare se samtliga IT-kostnader i kommunen. Ett förslag är att systemen tilldelas olika nummer som används i 12 Information och driftsärenden 14 av 18

någon koddel. Genom att redovisa på detta sätt underlättas nämndernas möjlighet till att effektivt följa sina IT-relaterade kostnader. Här vill vi även tillägga att det är viktigt att det sker uppföljning av att kostnader konteras korrekt. Styrelse och nämnder bör säkerställa att de har kontroll över vad IT kostar totalt samt vad olika system kostar inom respektive nämnd. 2.6 Kontroll avseende IT-relaterade störningar Iakttagelser Flera användare har angett att det förekommer IT-relaterade störningar. Se bilaga 2. Problem som anges kan vara åtgärdade. Våra kommentarer Resultatet indikerar att det finns problem och/eller risker som kan påverka verksamhetens effektivitet och säkerhet. Det är viktigt att analysera problemen närmare. Det finns behov av en dokumenterad bild av nuläget, till exempel vilka problem som har åtgärdats, vad kvarstår, vilka konsekvenser ger problemen och vad kan vara orsaken. Detta är viktigt för att kunna prioritera, åtgärda eller acceptera, ge underlag för resurstilldelning etc.. Orsaken till problemen kan vara många t.ex. infrastruktur, tekniska problem i system, arbetsrutiner och kompetens hos användare. 15 av 18

Bilaga 1 Tydlig avseende hjälp m.m. Grafen nedan visar bland annat tydlighet kring var en användare kan få hjälp. Vi kan konstatera att de flesta tycker det är tydligt. Dock anger även många att det inte är tillräckligt tydligt. Tydlig kring var förbättringsförslag lämnas och hanteras Grafen nedan visar bland annat tydlighet kring vart man vänder sig för att t ex framföra förbättringsförslag. 16 av 18

Bilaga 2 Kontroll avseende IT-relaterade störningar Exempel på kommentarer från användare Svårt när man inte alls kommer in i datorn. Mycket arbete förutsätter ju att den fungerar. Längre driftstopp stannar ju av arbetet nästan helt. Svårt att uppskatta tid/v. Patientsäkerheten påverkas när vi inte har tillgång till vårt journalsystem. Uppdateringar som gör att det tar tid att komma igång. Fast det är inget stort problem, det är mest jag som är otålig. Problem med funktionalitet/trådlöst nätverk i undervisningssalar. Den tid jag förlorar är i stort sett uteslutande i den pedagogiska verksamheten. Förra veckan tappade vi en hel arbetsdag. det är mitt arbetsverktyg som då är väldigt viktigt att det ska fungera fullt ut Kan vara flera timmar eller en hel dag ibland, men sen kan det gå lång tid och allt fungerar. Väldigt ojämnt, så det går inte att uppskatta en tid per vecka. Datorn låser sig, den är seg, får ofta starta om datorn "Driftstörningar. Serverproblem. Elevinlogg som inte funkar. Skrivarinställningar. Slut på toner. springa och leta fungerande skrivare Långsam uppkoppling, måste starta om ibland. Har bytt arbetsplats där det fungerar bättre. Tidigare förlorade jag flera timmar/vecka på data och skrivarkrångel Vid datorbyte förlorar jag mer, men det är ju ganska sällan. 17 av 18

Lång uppstartstid för elevdatorerna. Problem för eleverna med att logga in och kunna hitta på nya inlogg som godtas av datorn. Svårigheter för eleverna att hitta på skrivbordet eftersom programmen de ofta använder inte ligger där utan ""gömda"" under..." Detta beror på att vi har egna system. De centrala systemen krånglar mer. Skrivarproblem, driftstörningar, icke-fungerande trådlöst, inloggningsproblem för eleverna som tar mycket tid att åtgärda, etc Väntetid i kö till helpdesk, väntetid att få problem fixade ibland inte förrän nästa dag. Långa väntetider då programmen "fryser" och allt står stilla. Outlook svarar inte, word svarar inte, excel svarar inte... Vid större driftstopp blir stora delar av arbetet lidande, då det mesta sker via datorn = stor sårbarhet! Mindre/kortare stopp ger fördröjda jobb. tar lång tid innan man kommer in på datorn, program stängs ner o man får börja om från början... ibland hinner man inte göra det man ska Väntetid för att komma in i datorn gör att man lätt stressar upp sig särskilt när det är något akut som hänt! Förlorar mest tid på att det tar så lång tid att logga in o datorn är ju så långsam 18 av 18

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss