Granskningsrapport Övergripande granskning kring hantering av IT

www.pwc.se Göran Persson- Lingman Stina Björnram Rolf Hammar December 2013 Granskningsrapport Övergripande granskning kring hantering av IT Landstinget Västmanland

Innehållsförteckning 1. Sammanfattning... 1 2. Bakgrund...5 2.1. Revisionsfråga...5 2.2. Metod...5 2.3. Avgränsning...5 3. Granskningen...6 3.1. Finns styrande dokument och är dessa kommunicerade...6 3.2. Sker uppföljning och värderas IT-relaterade risker...7 3.3. Fångas användares synpunkter på vården system på ett tillräckligt sätt....9 3.4. Har användare tillräcklig kunskap och/eller stöd...11 3.5. Finns tillfredställande kontroll avseende kostnader och nytta avseende kostnadskrävande projekt... 13 3.6. Hur fungerar fördelning och prissättning av IT-relaterade kostnader... 15 3.7. Hur fortskrider arbetet med att reducera antalet applikationer... 16 3.8. Kommuniceras alternativa kontaktvägar exempelvis "Mina vårdkontakter"... 17 Bilaga 1 Styrande och stödjande dokument... 21 PwC

1. Sammanfattning Vi har översiktligt granskat hanteringen av IT inom några utvalda områden- Granskningsobjekt är landstingstyrelsen Syfte och revisionsfråga var att ge revisorerna ett underlag för att bedöma om Landstinget Västmanlands IT-verksamhet organiseras, planeras och genomförs på ett sätt stödjer fullmäktiges intentioner om god tillgänglighet samtidigt som patientsäkerhet och patientens integritet inte riskeras och en kostnadseffektiv verksamhet uppnås. Inom de områden vi kontrollerad är vår bild att det till stor del finns en god hantering. Vi har noterat flera brister men vi har samtidigt noterat att det pågår förbättringsarbeten inom flera av dessa De bedömningar, brister och förslag till förbättringar som finns intagna i rapporten sammanfattas nedan. Styrande dokument Det finns många bra övergripande styrande dokument som tydliggör hanteringen av IT inom landstinget (t ex IT-strategi, IT-policy, arbetssätt kring systemförvaltning). Vi har noterat att det finns förbättringsbehov men samtidigt kan vi konstatara att ett förbättringsarbete är påbörjats, till exempel förbättring av styrande och stödjande dokument avseende informationssäkerhet. Vi noterar att många av de användare 1 som besvarat vår enkät är osäkra på de dokument som berör dem (t ex riktlinjer IT-säkerhet för användare). En viktig utgångspunkt är att upprättad dokumentation är aktuell, att den når rätt målgrupp och förstås. Det är även viktigt att beakta tydlighet kring hur förändringar i olika dokument kommuniceras. Även här notererar vi att ett förbättringsarbete är initierat. Uppföljning och värdering av risker Vi noterar att det sker uppföljning och riskvärderingar på olika sätt. Dock bedömer vi inte att detta sker på ett tillräckligt sätt idag. Enligt den bild vi fått behöver uppföljningen förbättras. IT-relaterade risker värderas inte tillräckligt systematiskt. Via riskvärderingar kan det tydliggöras vad som reducerar risken, exempelvis de kontrollaktiviteter som ska utföras. Underlag från riskanalyser bör rapporteras till landstingsledningen 1 Flera har ett personalansvar

(landstingsstyrelsen). Detta är extra viktig avseende risker som olika ansvariga ej kan hantera (råda) över själva. Vi konstaterar samtidigt att det påbörjats olika förbättringsarbeten som berör uppföljning, värdering av risker m.m. vilket är positivt. Här vill vi även nämna att det forum som ska etableras är positivt då det sannolikt kommer att stödja arbetet. Det är viktigt att landstingstyrelsen följer att arbetet bedrivs som planerat. Underlag som inkommer via avvikelseprocessen och ärendehantering via helpdesk bör kunna utgöra underlag för uppföljning och värdering av risker. Fångas användares synpunkter på ett tillfredställande sätt Den systemförvaltningsmodell som används och som delvis är införd stödjer kommunikation mellan ansvariga i verksamheten, användare och olika IT-resurser. Modellen är inte helt införd vilket innebär att hanteringen av systemen sker på ett varierande sätt inom verksamheterna idag. Vi noterar att modellen förbättras avseende de system den införts och att det är planeras att fler system ska använda sig av modellen. Utifrån den bild vi fått via vår enkät ser vi ett behov av att tydligöra arbetsätten (inklusive roller, ansvar) kring hur förslag, problem och synpunkter från användare tas om hand och hanteras. Den systemförvaltningsmodell som succesivt förbättras och införs bör stödja detta arbete. Avsittet är relaterat till avsnitt 3.4 avseende stöd, hjälp hantering av problem. Se även detta avsnitt. Har användare tillräcklig kunskap och/eller stöd för att arbetat med vårdens system Det finns ett behov av att behovet av utbildning i olika system analyseras djupare av ansvariga. Detta gäller även vilken generell kunskap 2 som användare behöver för att arbeta effektivt och säkert. Behov av ökad information och kunskap har även berörts i avsnittet 3.2 styrande dokument. I förbättringsarbete bör underlag som skapas i samband med ärendehanteringen kunna utgöra stöd (till exempel vilka incidenter är relaterade till kunskap, vilken kunskapsbrist kan utgöra källan till problemet). 2 T ex tydliggörande av de informations och kommunikationsvägar som finns. Kunskap avseende de styrande dokumenten som berörs i avsnitt 3.2, t ex att tänka på i användingen av datorn.

Finns tillfredställande kontroll avseende kostnader och nytta avseende kostnadskrävande projekt Utifrån den bild vi fått är vår bedömning att det i allt väsentligt finns en tillfredställande kontroll avseende kostnadskrävande projekt. Exempel på sådant som är positivt är att o det finns en landstingsgemensam gruppering i form av Portföljutskottet som beslutar om investeringar i IT inom landstinget. Detta ökar sannolikt förutsättningarna för en bra bedömning och prioritering av vilka utvecklingsinsatser som ska genomföras. o portföljutskottet har en sammansättning som innebär att både ITverksamheten, olika verksamheter och ekonomer är representerade. o en särskild styrgrupp utses för varje projekt vilket förbättrar styrningen och kontrollen Vi föreslår att det sker en löpande statusrapport och en formell återrapportering till Portföljutskottet när projekten är klara. Fördelning och prissättning av IT-relaterade kostnader. Enligt vår bedömning har landstinget en i allt väsentligt tillfredställande fördelning och prissättning av IT-relaterade kostnader. o Den modell som används ger möjlighet att följa hur mycket respektive system/ tjänst kostar. Det går även att se verksamheternas (kliniker) kostnader för tjänster och system. o Det finns en målsättning att fördela och redovisa kostnaderna för olika system/ tjänster så rättvisande som möjligt. Det finns också en strävan att göra denna fördelning ännu tydligare Vi noterar att risken med att endast en person har ett helhetsgrepp kring modellen kommer att reduceras genom att ytterligare en person ska sätta sig in i modellen. Hur går arbetet med att reducera antalet applikationer och därigenom nå kostnadsbesparingar Vi kan konstatera att ett arbete pågår och att det finns sammanställda underlag att arbeta vidare från (till exempel dokumentation av vilka system som finns). Vi kan även konstatera att det nu vidtagits förbättringar som kommer att underlätta det pågående arbetet.

Kommuniceras alternativa kontaktvägar exempelvis "Mina vårdkontakter" Utifrån den bild vi fått pågår ett positiv arbete med att informera om alternativa kontaktvägar. Vi har noterat att det pågår ett arbete med att förbättra uppföljningen av vårdens tjänster via webplatsen. Detta ser vi som positiv. Idag kan hanteringen avseende sociala medier bestämas inom de olika verksamheterna. Vi föreslår att det sker en översyn kring detta. Vi kan se behov av gemensamma styrande dokument och riktlinjer kring hur detta hanteras.

2. Bakgrund Revisorerna har i sin risk- och väsentlighetsanalys beslutat att granska om landstingsstyrelsens kontroll över landstingets IT-verksamhet är ändamålsenlig och tillräcklig. Ett väl fungerande IT-stöd är viktigt för landstingets verksamhet. Utvecklingen inom IT går fort och nya möjligheter erbjuds ständigt, till exempel används IT idag i hög grad för kommunikation mellan landsting och medborgaren. I landstingsplanen skriver landstingsstyrelsen Ett effektivt utnyttjade av IT är en förutsättning för att landstinget ska nå uppsatta mål och är en viktig del av strategierna för det hälsoinriktade landstinget, det tillgängliga landstinget, och det resursmedvetna landstinget. 2.1. Revisionsfråga Granskningen syftar till att ge revisorerna ett underlag för att bedöma om Landstinget Västmanlands IT-verksamhet organiseras, planeras och genomförs på ett sätt stödjer fullmäktiges intentioner om god tillgänglighet samtidigt som patientsäkerhet och patientens integritet inte riskeras och en kostnadseffektiv verksamhet uppnås. 2.2. Metod Vi har intervjuat fler ansvariga inom Centrum för IT. Ansvariga inom kommunikationsenheten och ekonomikontoret. Ett webbaserat frågeformulär (enkät) har skickats till 900 IT användare (personal) som arbetar inom vården (läkare, sjuksköterskor, undersköterskor med flera). Formuläret besvarades av cirka 225 användare). 2.3. Avgränsning Granskningen berör översiktligt ett flertal olika områden. Inom varje område har ett urval av frågeställningar skett. Granskningsobjektet är landstingstyrelsen.

3. Granskningen En övergripande granskning har skett inom nedanstående områden. 3.1. Finns styrande dokument kring hanteringen av IT och är dessa kommunicerade inom verksamheterna. Med styrande dokument avser vi här policys, riktlinjer, strategier, dokument som tydliggör roller samt fastställda arbetssätt (processer). Avsnittet berör även om upprättade dokument är kända med mera hos de roller som berörs. Iakttagelser Vi har tagit del av ett flertal styrande och stödjande dokument (policys, riktlinjer med mera), till exempel IT-Policy för Landstinget IT-strategi 2013-2017 Riktlinjer för IT-säkerhet Behörighet till elektronisk patientinformation (Dokumentet beskriver hantering och ansvar för att säkerställa att patientinformation hanteras på ett korrekt sätt) Remisshantering anpassad till elektronisk journal (Stödjer en säker remisshantering innehåller ansvar och arbetsfördelning) Riktlinjer för mobila enheter. (Dokumentet tydliggör hur mobila enheter ska hanteras för en säker verksamhet) Systemförvaltningen inom Landstinget Västmanland- I dokumentet beskriv t ex systemförvaltningsmodell för landstinget Verksamhetsplan Centrum för IT, Landstingsgemensamma funktioner. Verksamhetsplanen utgår från landstingsplanen. I planen finns 6 långsiktiga verksamhetsstrategier som beskriver hur verksamgeten ska utföra sitt uppdrag. Arkitektrådet- fokusområden 2013, behandlar prioriterade projekt och ansvar. Tjänster för Centrum för IT (beskriver tjänsteutbud och överenskommelser) Styrning av landstingets (system) förvaltningsarkitektur (portföljutskott 2013-02-25) Innehåll i dokumenten utvecklas mer i bilaga 1 Det har nyligen etablerats en ny roll 3 som informationssäkerhets samordnare som kommer att arbeta vid sidan om IT-avdelningen. 3 Samordnaren rapporterar till chefen för Juridik och säkerhet. Över honom finns administrative direktören, följd av landstingsdirektören. Även om rollen är oberoende från IT-centrum kommer ett samarbetet att ske. En liknande roll har har tidigare funnits inom IT-avdelningen för något år sedan.

I rollen kommer att ingå att förbättra övergripande styrdokument, till exempel har det påbörjats ett arbete med en informationssäkerhetspolicy 4 i enlighet med SOSFS 2008:14 samt riktlinjer och rutiner som stödjer denna. I uppgiften ingår även att implementera dokumenten (t ex till olika utbilda i innehåll, arbetssätt metoder m.m.). Det pågår även en förbättring av landstingets ledningssystem. Arbetet med att förbättra och implementera de informationssäkerhetsrelaterade dokumenten kommer att integreras i detta arbete. Användarenkäten Svaren varierar men många användare som besvarat vårt formulär anger att de inte känner till de styrande dokumenten tillräckligt. (79 svarar inte alls eller till viss del på fråga kring var dokument återfinns och 55 svarar inte alls eller till viss del om de känner till riktlinjerna). Våra kommentarer Det finns många bra övergripande styrande dokument som tydliggör hanteringen av IT inom landstinget (t ex IT-strategi, IT-policy, arbetssätt kring systemförvaltning). Vi har noterat att det finns förbättringsbehov men samtidigt kan vi konstatara att ett förbättringsarbete är påbörjats, till exempel förbättring av styrande och stödjande dokument avseende informationssäkerhet. Vi noterar att många av de användare 5 som besvarat vår enkät är osäkra på de dokument som berör dem (t ex riktlinjer IT-säkerhet för användare). En viktig utgångspunkt är att upprättad dokumentation är aktuell, att den når rätt målgrupp och förstås. Det är även viktigt att beakta tydlighet kring hur förändringar i olika dokument kommuniceras. Även här notererar vi att ett förbättringsarbete är initierat. 3.2. Sker uppföljning och värderas IT-relaterade risker Avsnittet berör mycket översiktlig om det sker uppföljning kring att IT hanteras effektivt och säkert, till exempel i enlighet med styrande dokument. Avsnittet omfattar även om risker värderas systematiskt samt om avvikelser och incidenter hanteras för att kunna arbeta proaktivt, till exempel som stöd i riskvärderingar, se brister med mera ) Iakttagelser Utifrån ett patientperspektiv värderas risker kontinuerligt inom vården. Detta berör indirekt även IT-systemen. 4 Dokumentet saknas idag 5 Flera har ett personalansvar

Uppföljning sker på ett varierande sätt kring de olika systemen. Via den systemförvaltningsmodell som finns (se mer i avsnitt 3.3 kommuniceras hantering och användning kontinuerligt i olika forum 6 ) Det sker kontinuerligt uppföljningar 7 kring att förändrade tekniska lösningar fungerar på ett önskvärt sätt. Dock anges att det är något som bör förbättras. Risker kring IT-infrastrukturen har värderats och det har tagits fram en kontinuitetsplan avseende infrastrukturen. Det anges att direkta värderingar av IT-relaterade risker kopplat till olika system har skett i varierande grad. Det anges dock att det inte är vanligt att detta sker på något systematiskt sätt. I intervjuer har det framkommit ett behov att förbättra uppföljning t ex hur styrande dokument kring informationssäkerhet efterlevs och att värdering av ITrelaterade risker bör systematiseras. IT-relaterade avvikelser och incidenter Det finns en helpdesk 8 inom landstinget. Underlag från helpdesk används på olika sätt i proaktivt arbete. Det finns processer för att rapportera avvikelser i vården. I denna bevakas 9 (hanteras) även avvikelser som är IT-relaterade. Det anges att det ibland inkommer avvikelser som borde anmälts direkt till IT-helpdesk istället. Det anges att gränsdragningen mellan felanmälan och avvikelse är otydlig avseende IT-relaterade händelser. Användarenkäten I enkäten ställdes påståenden om användare bedömer om det sker riskvärdering och uppföljning kring IT-hanteringen. Svaren varierar där många svarar att det sker. Dock besvarar även många att det inte sker (84 svarar inte alls eller till viss del på fråga kring om det sker uppföljningar, På fråga kring om IT-relaterade risker värderas svarar 62 inte alls eller till.) En stor andel är osäkra och besvarar frågor kring om det sker riskväderingar eller uppföljning med vet ej. 6 Där både ansvariga från verksamheten och ansvariga från IT-verksamheten deltar. 7 Uppföljning sker när det gjorts någon förändring, inte alltid. T.ex. har de ändrat tid för driftstopen, nu genomförs de nattetid och det ska följas upp om det har blivit bättre/sämre. De har även infört en tjänst med sms påminnelse som också ska följas upp. 8 helpdesken är en s.k.singelpoint of contact som innebär att alla IT-relaterade störningar ska rapporteras till helpdesk. 9 Bevakning av IT-relaterade risker som inkommer via avvikelsehanteringsprocessen sker av förvaltningsledare vid IT-centrum. I arbetet ingår att bedöma vad det är för typ av avvikelse och återkopplar till den som anmält avvikelse.

Förbättringsarbete Som omnämnts har det etablerats en roll som informationssäkerhetssamordnare. (se avsnitt 3.1). Ett arbete med att ta fram ett gemensamt metodstöd för riskanalyser och informationsklassning har påbörjats av samordnaren. Ett forum för hanteringen av informationssäkerhet kommer att införas 10. I detta kommer landstingledningen, ansvariga från verksamheten och ansvariga från IT-centrum att delta. Våra kommentarer Vi noterar att det sker uppföljning och riskvärderingar på olika sätt. Dock bedömer vi inte att detta sker på ett tillräckligt sätt idag. Enligt den bild vi fått behöver uppföljningen förbättras. IT-relaterade risker värderas inte tillräckligt systematiskt. Via riskvärderingar kan det tydliggöras vad som reducerar risken, exempelvis de kontrollaktiviteter som ska utföras. Underlag från riskanalyser bör rapporteras till landstingsledningen (landstingsstyrelsen). Detta är extra viktig avseende risker som olika ansvariga ej kan hantera (råda) över själva. Vi konstaterar samtidigt att det påbörjats olika förbättringsarbeten som berör uppföljning, värdering av risker m.m. vilket är positivt. Här vill vi även nämna att det forum som ska etableras är positivt då det sannolikt kommer att stödja arbetet. Det är viktigt att landstingstyrelsen följer att arbetet bedrivs som planerat. Underlag som inkommer via avvikelseprocessen och ärendehantering via helpdesk bör kunna utgöra underlag för uppföljning och värdering av risker. 3.3. Fångas användares synpunkter på vården system på ett tillräckligt sätt. Frågeställningen berör dels om det finns etablerade kommunikationsprocesser mellan verksamheten och IT verksamheten (finns processer och forum för att kommunicera verksamheternas krav i nuläge och framtid). Via enkät har vi även ställt frågor kring hur användares krav och synpunkter beaktas. Finns etablerade arbetssätt för att hantera förslag och synpunkter från användare (som ett underlag för att beakta verksamheternas krav, förslag till förbättring). 10 Första kvartalet 2014, tänkbara uppgifter kan bli - kan genom sin tvärsektoriella sammansättning bidra till att analyser och förslag förankras närmare verksamheterna. - kan vara vägledande vid prioritering av framtida åtgärder- kan vara vägledade vid utformning av åtgärder och rutiner - i vissa principiellt viktiga frågor kan delta i riskanalyser och bedömningar - deltar vid planering av systematisk uppföljning och sammanställning av rapporter till ledningen

Iakttagelser Systemförvaltningen bedrivs idag på ett varierande sätt, t ex sker systemförvaltningen ute i verksamheten för många system. Eftersom systemförvaltningen bedrivs olika innebär detta att även förslag och hantering av problem hanteras olika. Via helpdeskfunktionen rapporteras kontinuerligt problem som finns kring IThanteringen. Underlagen dokumenteras och används i proaktivit syfte. Några av landstingets system hanteras idag via en etablerad systemförvaltningsmodell 11. (till exempel Cosmic). Modellen stödjer bland annat att verksamheternas krav beaktas i utveckling, förändring och arbetsätt kring systement. Systemen (objektet) förvaltas av både IT-resurser och ansvariga från verksamheterna. Verksamhetssidan är ägare av objektet som förvaltas. Modellen har funnits etablerad under cirka 2 år och det pågår kontinuerligt förbättringar (ständiga förbättringar avseende arbetsätt kring modellen). Modellen stödjer att användares förslag och problem tas om hand och hanteras. Målsättningen är att systemförvaltningen ska användas för förvaltningen av alla 12 system Under 2014 finns en prioritering av vilka system som ska inordnas i systemförvaltningsmodellen. IT-centrums arbete är integrerat i modellen och det finns en del inom IT-centrum som har direktkontakt med verksamheterna. Enkäten till användare I vår enkät ställdes frågor kring om användare anser att det är tydlig vem som ansvarar för de system som användaren bedömer vara de viktigaste samt om det är tydlig vart förbättringsförslag lämnas och att dessa tas emot på ett bra sätt. Svaren varierar. De flesta som besvarat enkäten anger att det är tydlig vem som ansvarar för systemet, anger att det är tydligt vart man vänder sig med förbättringsförslag samt är nöjda med det sätt som de tas om hand. Dock utrycker även flera förbättringsbehov inom de ställda frågorna. På fråga om det är tydlig vart man vänder sig med förslag svarar 60 anställda till viss del eller inte alls, På fråga om förbättringsförslag mottas positivt svarar 59 inte alls eller till viss del. På fråga om det är tydligt kring vem som tar ett ansvar för systemet svarar 67 anställda till viss del eller inte alls. Våra kommentarer Den systemförvaltningsmodell som delvis finns införd stödjer kommunikation mellan ansvariga i verksamheten, användare och olika IT-resurser. Modellen är inte helt införd vilket innebär att hanteringen av systemen sker på ett varierande sätt inom verksamheterna idag. Vi 11 Exempel på system där modellen är etablerad idag är Journalsystemen COSMIC;Journal3,. Avseende Orbit, sectra och Obsterix kommer systemförvaltningsmodellen att införas under 2014.. Avseende Prator ingen plan ännu. 12 Väsentliga,kritiska

noterar att modellen förbättras avseende de system den införts och att det är planeras att fler system ska använda sig av modellen. Utifrån den bild vi fått via vår enkät ser vi ett behov av att tydligöra arbetsätten (inklusive roller, ansvar) kring hur förslag, problem och synpunkter från användare tas om hand och hanteras. Den systemförvaltningsmodell som succesivt förbättras och införs bör stödja detta arbete. Avsnittet är relaterat till avsnitt 3.4 avseende stöd, hjälp hantering av problem. Se även detta avsnitt. 3.4. Har användare tillräcklig kunskap och/eller stöd för att arbetat med vårdens system. Kontrollavsnittet syftar till att om användare inom vården upplever att det har tillräckligt kunskap för att använda vårdens system effektivt och säkert. Med kunskap menar vi här även att de känner till olika kommunikationsvägare, till exempel vart man vänder sig vid problem (tekniska, kunskapsrelaterade). Var information återfinns med mera. Avsnittet berör även att det finns etablerade arbetsätt för att hjälpa och stödja användarna, till exempel utbildningsaktiviteter, support vid behov av stöd. Iakttagelser Ansvar och hur löpande utbildningsaktiviteter genomförs varierar mellan olika system och verksamheter. När det gäller tydligheten är varje verksamhet/klinik själva ansvariga för sina egen utbildning. Detta innebär att utbildningar hanteras olika på inom klinikerna Även vid nyanställning ser det olika ut kring hur utbildningar görs för olika system. Vissa kliniker/verksamheter använder sig av en webbaserad utbildning (e-learning) och andra har det i kombination med ytterligare utbildning. Avseende Cosmic finns beslut om att det ska genomföras en webbaserad utbildning i systemen vid nyanställning. Därefter finns en valfrihet för respektive klinik att bestämma vilka ytterligare aktiviteter som krävs. För journalsystemet Cosmic finns s.k. superanvändare som har i uppgift att stödja användare (utbilda de nyanställda, ge information och utbilda vid förändringar). De utbildningar som främst sker av IT centrum är att utbildar 13 superanvändarna i Cosmic. 13 t ex utbildning angående läkemedel (de måste ha en certifiering för att få arbeta med det) och om det kommer några nya funktioner i Cosmic.

Från IT-centrum anges att det finns behov att i ökad grad både standardisera och genomföra mer utbildning 14. Enligt uppgifter förekommer det problem som kan relateras till kunskap. Det sker analyser av användares kompetens behov. När det gäller analyser så görs de utifrån om det kommit in mycket fel av samma sak. Detta har hänt och då gjordes insatser och möte anordnades med de som använde systemet för att tala om hur de ska arbeta med det. Stöd då användare är i behov av detta. De finns så kallade första linjens support (helpdesk) dit användarna kan ringa eller maila ett ärende. I supporten kategoriserar ärendena och om supporten inte kan hjälpa användaren vidarebefordras ärendet till rätt person (t ex ansvariga för systemet). För att användaren ska komma igång så fort som möjligt finns en målsättning att hjälpa användare direkt vid den första kontakten (första samtalet). Ärendena som kommer in kodas utifrån vilket system det gäller, men även utifrån vad problemet handlar om t.ex. kompetens. Systemen är uppdelade i olika kategorier (guld, silver, brons). Utifrån vilket system det är som har problem bestäms vilken prioritering ärendet har, Cosmic är guld vilket betyder att så fort något är problem med detta är har det första prioritet. Information till användare Hantering kring hur användarna får information avseende förändringar i olika system varierar. För de system som använder sig av systemförvaltningsmodellen PM3 finns etablerade kommunikationsprocesser där både IT-centrum och verksamhetensansvariga arbetar. Mycket av den gemensamma informationen som rör IT och system kan nås via intranätet. Enligt de vi intervjuat är intranätet en etablerad kommunikationskanal. (Att det är känt att information erhålls via intranätet). Dock ser det intervjuade ett förbättringsbehov kring hur informations struktureras på intranätet. Det har därför påbörjats förbättringsarbetet med att se över intranätet som kommunikationskanal. Enkäten till användare I enkäten ställdes frågor till läkare, sjuksköterskor, undersköterskor med flera om de har tillräcklig kunskap för att hantera systemet effektivt och säkert, om utbildningen varit tillräcklig och om de har någon som hjälper dem vid behov. De flesta av de svarande uttrycker att de är nöjda. Dock anger även många att det 14 Det är ett arbete som pågår att alla ska arbeta lika, ska standardisera utbildningarna det är det mest prioriterande just nu.

finns behov av mer kunskap, utbildning och mer hjälp vid behov. Flera användare har även angett att det inte är tillräckligt tydlig avseende vem som ska hjälpa dem vid behov. Våra kommentarer Det finns ett behov av att behovet av utbildning i olika system analyseras djupare av ansvariga. Detta gäller även vilken generell kunskap 15 som användare behöver för att arbeta effektivt och säkert. Behov av ökad information och kunskap har även berörts i avsnittet 3.2 styrande dokument. I förbättringsarbete bör underlag som skapas i samband med ärendehanteringen kunna utgöra stöd (till exempel vilka incidenter är relaterade till kunskap, vilken kunskapsbrist kan utgöra källan till problemet). 3.5.Finns tillfredställande kontroll avseende kostnader och nytta avseende kostnadskrävande projekt Iakttagelser Det finns övergripande dokumenterade strategier kring hur IT ska hanteras idag och i framtiden. Se avsnittet 3.1 avseende styrande dokument. Det finns styrande dokument som reglerar hur övergripande beslut avseende IT ska hanteras (roller och hur det ska gå till). Den projektmodell som används inom Landstinget är beslutad av Landstingsdirektören. Modellen, Projektil 16, används av många Landsting och regioner. Det finns ett forum, Portföljutskottet som fattar beslut kring gemensam utveckling med finansiering av gemensamma medel. Portföljutskottet har en sammansättning med representanter från IT, verksamhet och ekonomi. Portföljutskottet får en årlig budgetsumma att använda för IT-relaterad utveckling. Projektkontoret bereder ärendena till portföljutskottet. Enligt modellen ska nyttokalkyler genomföras innan beslut fattas om investeringar tas. De gemensamma IT-relaterade projekten är beslutade av Portföljutskottet. För varje projekt utses en styrgrupp. Styrgruppen har sedan under hela projekttiden ansvaret för projektet. Det är styrgruppen som ansvarar för att det upprättas en 15 T ex tydliggörande av de informations och kommunikationsvägar som finns. Kunskap avseende de styrande dokumenten som berörs i avsnitt 3.2, t ex att tänka på i användingen av datorn. 16 Modellen är ursprungligen framtagen av Stockholms Läns Landsting.

slutrapport och fattar beslut om att projektet är klart och kan överlämnas till förvaltning. Portföljutskottet kräver inte någon löpande återrapportering från projektet eller någon slutredovisning till sig när projektet är klart. Verksamheterna (t ex Primärvården, vårdvalsenheten) kan utöver detta göra verksamhetsrelaterade IT-satsningar med egna medel. Portföljutskottet är involverade i dessa projekt eftersom de är IT-relaterade och kan behöva ställas mot andra insatser av Centrum för IT:s begränsade resurser. Det är dock verksamheterna som står för finansieringen och fattar beslutet om att genomföra satsningen. Kostnader inklusive egna upparbetade lönekostnader bokförs på särskilda projektnummer i redovisningssystemet. Projektkontoret har från och med oktober månad flyttat till landstingets utvecklingsenhet, detta för att på sikt hantera landstingets alla projekt (inte bara IT projekt). Projektkontoret ska fungera som en motor i alla IT-relaterade utvecklingsprojekt. Projektkontoret har rutiner för hur de följer pågående projekt med löpande interna avstämningar inklusive avrapporteringar från respektive projekt. Innan projekt avslutas ska det bl a ske en avstämning av om nyttoeffekterna bedöms vara uppnådda. Investeringar i hårdvara hanteras bokföringsmässigt via anläggningsreskontran? Våra kommentarer Utifrån den bild vi fått är vår bedömning att det i allt väsentligt finns en tillfredställande kontroll avseende kostnadskrävande projekt. Exempel på sådant som är positivt är att o det finns en landstingsgemensam gruppering i form av Portföljutskottet som beslutar om investeringar i IT inom landstinget. Detta ökar sannolikt förutsättningarna för en bra bedömning och prioritering av vilka utvecklingsinsatser som ska genomföras. o portföljutskottet har en sammansättning som innebär att både ITverksamheten, olika verksamheter och ekonomer är representerade. o en särskild styrgrupp utses för varje projekt vilket förbättrar styrningen och kontrollen Vi föreslår att det sker en löpande statusrapport och en formell återrapportering till Portföljutskottet när projekten är klara.

3.6. Hur fungerar fördelning och prissättning av IT-relaterade kostnader. Iakttagelser Det finns även en fastställd grundkostnad för grundläggande infrastuktur. Därefter tar Centrum för IT fram underlag på årsbasis avseende hur mycket respektive system kostar med delsummor för t.ex. servrar, databaser, säkerhetskopiering, licenser (avskrivningar eller kostnadsbelastning) samt underhållskostnader till respektive leverantör. Kostnader fördelas sedan ut till verksamheterna. Här används olika fördelningsprinciper. Det vanligaste sättet är antalet anställda per enhet/ klinik i förhållande till totala antalet anställda inom landstinget. Respektive enhet/ klinik betalar sedan kostnader enligt den procentsatsen. Kostnaden fördelas direkt till enhet/ klinik. Vissa system/ tjänster finns det bara en användande enhet/ klinik för. Då fördelas hela kostnaden direkt till den enheten/ kliniken. I något fall tillämpas en överenskommen fördelning mellan t ex två användande enheter/ kliniker som delar på kostnaden enligt en uppgörelse och sedan i sin tur betalt av slutanvändarna där IT-kostnaderna är en del av grunden. Enligt uppgifter finns det i nuläget endast en person som har detaljerad kunskap om hela fördelningsmodellen såväl förvaltning som vidareutveckling. Det pågår rekrytering av en IT-controller där en del av arbetsuppgifterna, för den tjänsten kommer att vara utvecklingsansvaret för fördelningsmodellen samt kunskap om förvaltningen tillsammans med den person som i dagsläget är ensam om kunskapen kring hela modellen. Verksamheterna/ klinikerna har tillgång till underlag som beskriver vad och på vilka grunder de betalar sina kostnader. Våra kommentarer Enligt vår bedömning har landstinget en i allt väsentligt tillfredställande fördelning och prissättning av IT-relaterade kostnader. o Den modell som används ger möjlighet att följa hur mycket respektive system/ tjänst kostar. Det går även att se verksamheternas (kliniker) kostnader för tjänster och system. o Det finns en målsättning att fördela och redovisa kostnaderna för olika system/ tjänster så rättvisande som möjligt. Det finns också en strävan att göra denna fördelning ännu tydligare Vi noterar att risken med att endast en person har ett helhetsgrepp kring modellen kommer att reduceras genom att ytterligare en person ska sätta sig in i modellen.

3.7. Hur fortskrider arbetet med att reducera antalet applikationer och därigenom nå kostnadsbesparingar genom färre användarlicenser och effektivare support? Det finns en målsättning inom landstinget är att reducera antalet applikationer för att skapa en säkrare och billigare hantering. Nyttan av ITstödet måste beaktas och alternativa lösningar jämfört med den applikation som används idag måste bedömas som likvärdiga. Iakttagelser Konsolidering (till exempel möjlighet att ett system skulle kunna ersätta flera) och avveckling av ett system är ett led i att bidra till Landstingsplanens strategiska målområden avseende kostnadseffektivitet. Centrum för IT har prioriterat ett arbete med att identifiera vilka system som finns samt därefter göra en bedömning om ett system skulle kunna ersätta andra system 17. Målet med arbetet är att få en bättre kontroll 18 och reducera kostnader. Det har påbörjats ett arbete med att genomföra en inventering av applikationerna. Centrum för IT anger att det är tidskrävande eftersom det är viktigt att säkerställa att tillräcklig information finns, bland annat veta vilken verksamhet applikationen stödjer. Det är först när man har tillräcklig information som man kan överväga att avveckla applikationen. I och med att arbetet ännu inte kommit så långt är det svårt att redan nu se några nyttoeffekter av arbetet fram tills idag. Det finns i dagsläget heller inga metoder eller kalkyler framtagna för att mäta nyttoeffekten gällande reducerade applikationer. Den systemförvaltningsmodell som implementeras stödjer arbetet med att reducera antalet applikationer, (e riktlinje systemförvaltning i bilaga 1). Det har upprättats dokument som beskriver de olika applikationerna och om de används eller ej. Vad är på gång De aktiviter som närmast är inplanerade är att man efter identifiering av samtliga applikationer går vidare i arbetet genom att se vilka applikationer som är möjliga att avveckla. Hänsyn kommer att tas till vad som står i avtal samt 17 avvecklas för att de inte används eller därför att det finns befintliga applikationer som har samma funktion 18 Den alternativa lösningen måste ge motsvarande nyttoeffekt för verksamheterna. Ett mål är att system och applikationer samlas på ett och samma ställe för att på så sätt kunna stabilisera och minska antalet applikationer.

vilka applikationer som är mest kostnadseffektiva att ha kvar. Detta beräknas sker under 2014. Förbättringar som kommer att underlätta arbetet Ansvariga vi intervjuat har sett ett behov av ett starkare mandat att en ökad tydlighet via dokumenterade riktlinjer från ledningen kring vad de ska utföra. Det har nyligen beslutats att RIT (landstingets råd för strategisk IT) ska vara styrgrupp 19 och ägare av landstingets förvaltningsobjektsarkitektur. Det kommer även att ske förändringar i riktlinjen för systemförvaltning. Det anges att de nu vidtagna förändringarna kommer att underlätta konsolidering och avveckling av system. Våra kommentarer Vi kan konstatera att ett arbete pågår och att det finns sammanställda underlag att arbeta vidare från (till exempel dokumentation av vilka system som finns). Vi kan även konstatera att det nu vidtagits förbättringar som kommer att underlätta det pågående arbetet. 3.8. Kommuniceras alternativa kontaktvägar exempelvis "Mina vårdkontakter" Tekniken ger möjligheter för vården att underlätta för medborgare att komma i kontakt med vården eller att få stöd på annat sätt. En förutsättning är dock att möjligheterna är kända av medborgarna. Frågan berör hantering av teknikens möjligheter i kommunikation, information till medborgare. Iakttagelser Alternativa kontaktvägar Enligt landstingets kommunikationsavdelning finns dessa alternativa kontaktvägar för medborgare. Mina vårdkotakter (MVK) 1177 Patientnämndens kansli (kan lämna förslag och synpunkter) Demokratikanalen (kan lämna förslag och synpunkter) LTV.se (Landstingets hemsida), myndighetsbrevlådan Det är ca 17 % av befolkningen i Västmanland som anslutit sig till konton på mina vårdkontakter. Vissa kliniker använder sig även av sociala medier (t ex facebook). Det anges att det är deras ansvar att hantera detta på ett säkert sätt. 19 Ordförande i RIT är landstingsdirektören. Riktlinjen är beslutad av landstingsdirektören

Det pågår ett arbete med en ny tjänst på internet (ltv.se)där medborgarna ska kunna framföra sina åsikter, både positiva och negativa. Ett syfte är att hjälpa landstinget att förbättra vården. Det pågår även ett arbete med att flytta hälso- och sjukvårdsinformation från ltv.se till 1177. Anledningen till detta är att underlätta för medborgare då information kan sökas på ett ställe. I samband med detta kommer landstinget även att se över sin egen webbplats. Det anges att det fortfarande är många som använder sig av telefonen som kontaktväg, det kommer alltid att finnas de som använder sig av telefonen, och det måste det få göra också. De intervjuades uppfattning är att det är viktigt att fokusera på tillgängligheten som helhet och inte bara tänka på den ena eller andra kontakvägen. Om flera använder sig av MVK medför detta nyttoeffekter även för kontakter som tas via telefon eftersom mer tid kan läggas på respektive patient. Nå ut till medborgare avseende nya möjligheter att få kontakt Informationen avseende nya möjligheter att nå sjukvården sker på flera olika sätt webben, e-tjänster ligger alltid på hemsidans första sida. Marknadsföring via annonser, foldrar och annat material. De har även olika kampanjer 20 under olika perioder ständigt ett meddelande på telefonsvararen där MVK nämns att det finns. På kallelserna finns det information om alternativa kontaktvägar. De har även något som heter landstingets dag där mycket marknadsföring görs, mest för mina vårdkontakter. Det är viktigt att fokus ligger på att göra medarbetarna medvetna om vilka kontaktvägar som finns tillgängligt så att de kan informera om detta vid besök. Ökar man medarbetarnas kunskaper kan de lättare förmedla informationen vidare till medborgarna. Kommunikationsavdelningen har arbetat mycket med annonsering på webben och fortsätter även med det. Det genomförs nu även ett arbete mot de anställda för att ge dem rätt kunskaper för att de därefter ska kunna kommunicera alternativa kontaktvägar till patienter och anhöriga m fl. Det handlar mycket om att göra alternativa kontaktvägar attraktiva för medborgarna. De ska utöka antalet tjänster och funktioner inom MVK, detta för att just göra det mer attraktivt för medborgarna att använda denna kontaktväg. På 1177.se (men även på ltv.se) finns det hänvisning till Mina vårdkontakter där det i sin tur finns bra information om hur man använder sig av tjänsten. Det är viktigt att man förklarar för medborgarna vilken kontaktväg man använder till vad, detta är något som man nu arbetar med, för att få ett bättre helhetsperspektiv och ha all information samlad på samma ställe. 20 T ex affisch uppe på alla vårdcentralen angående t.ex. Mina vårdkontakter under en månad.

Ansvar Kommunikationsdirektören ansvarar för att kommunicera information och fokus har varit på den externa informationen. Nu arbetar de för att ta fram en mer konkret plan för den interna informationen för att öka medarbetarnas kunnande om alternativa kontaktvägar. Målsättning I landstingsplanen för 2013-2015 finns målsättningar kring mina vårdkontakter. Enligt intervjuerna har man uppnått målen med marginal och man är nöjd med det arbete som hittills gjorts, men kommunikationsavdelningen är medvetna om att det fortfarande finns saker att förbättra och utveckla. Det finns även nationella mål uppsatta vilka inte har uppnåtts ännu i landstinget. Sedan införandet av det nya primärvårdsprogrammet, för några år sedan, har arbetet pågått att se till att samtliga vårdcentraler, både privata och landstingets egna, har utpekade grundtjänster som finns i MVK (mina vårdkontakter). Idag har nästan samtliga vårdcentraler dessa grundtjänster vilket är en förutsättning för att medborgarna ska har tillgång till samma grundtjänster oavsett vilken vårdcentral de är listade på. Styrande och stödjande dokument Det finns inte någon kommunikationsstrategi framtagen. Det anges att det finns behov att ta fram en kommunikationsplan. I denna ska det vara mycket fokus på att det interna arbetet måste lyftas, men det är även viktigt att man inte glömmer bort det externa perspektivet. Uppföljning I avsnittet 3.7 avseende alternativa kontaktvägar har vi noterat att det pågår ett arbete med att ta fram möjligheter för medborgare/patienter att framföra sina åsikter (förbättringsförslag, brister m.m.) Det genomförs årligen både en medarbetar- och medborgarundersökning gällande mina vårdkontakter. Se mer om resultat i bilaga 3 Enligt de intervjuades uppfattning har man fram till idag lyckats bra med att nå ut med de olika kontaktvägarna. Det anges att det givetvis krävs ett fortsatt arbete. Våra kommentarer Utifrån den bild vi fått pågår ett positivt arbete att informera om alternativa kontaktvägar. För att nå de nationella målen finns fortfarande behov av förbättringsarbete vilket man är medveten om.

Vi har noterat att det pågår ett arbete med att förbättra uppföljningen av vårdens tjänster via webplatsen. Detta ser vi som positiv. Idag kan hanteringen avseende sociala medier bestämmas inom de olika verksamheterna. Vi föreslår att det sker en översyn kring detta. Vi kan se behov av gemensamma styrande dokument och riktlinjer kring hur detta hanteras.

Bilaga 1 Styrande och stödjande dokument. Vi har tagit del av ett flertal styrande och stödjande dokument (policys, riktlinjer med mera). Vi kommer nedan att ge exempel på några dokument och vad som framkommer i dessa. Systemförvaltningen inom Landstiget Västmanland- dokumentet är fastställt av Landstingsdirektören, och började gälla från och med 2013-08-01. Det framkommer i dokumentet att syftet med landstingets förvaltningsverksamhet bland annat är att skapa en effektiv och professionell systemförvaltning. De beskriver även vilken målgruppen är samt en definition av ordet förvaltningsförvaltning som gäller inom landstinget. I definitionen nämnd bland annat vilka aktiviteter som genomförs, vilka är att styra förvaltningen, ge användarstöd, hantera ändringar och att bedriva daglig drift och underhåll. I dokumentet visas även en systemförvaltningsmodell för landstinget, det beskrivs även vad systemförvaltningsobjekt- och arkitektur är och att varje systemförvaltningsobjekt ska bemannad med olika roller samt en beskrivning av vilket ansvar respektive roll har. Till sist visas en styrmodell för systemförvaltningsobjekt och förvaltningsobjektarkitektur. IT-strategi 2013-2017 för Landstinget Västmanland- det framgår inte vem strategin är fastställd av men den började gälla från och med 2013-02-01. Strategin innehåller ett introduktionsavsnitt där inledning, syfte, målgrupp, omfattning och avgränsning samt definitioner presenteras. I inledningen anges att strategin är styrdokumentet för IT-verksamheten inom Landstinget Västmanland och att den utgör grunden för hur arbetet med IT ska prioriteras och planeras. Nästa avsnitt visar en styrmodell på IT, vilken huvudsakligen delas in i fyra delar: Styrning och ledning, Behov och kravställning, Utförande och leverans samt finansiering och kostnad. Strategin berör även vision och mål, samverkan, strategiska riktlinjer samt framgångsfaktorer och handlingsplaner. Elektronisk journal, beslutsstöd och IT-säkerhet är några exempel på områden där det finns behov att ta fram handlingsplaner för, detta för att bland annat kunna uppnå uppsatta mål. Verksamhetsplan Centrum för IT, Landstingsgemensamma funktionerverksamhetsplanen är fastställd av IT-direktören, och är skapat 2012-10- 12, det framgår ej när det började gälla. I inledningen av verksamhetsplanen framkommer det att den utgår från landstingsplanen, förvaltningsplanen, planeringsförutsättningar som fastställdes av Landstingsstyrelsen samt av dokumentet Planeringsprocessen budget 2013 LGF. I planen finns även med 6 långsiktiga verksamhetsstrategier som till att beskriva hur verksamgeten ska utföra sitt uppdrag. Det framkommer även vilka fokusområden verksamheten har och till dessa fokusområden finns olika aktiviteter kopplade. Man kan även se investeringsbudgeten och hur de har prioriterat investeringarna. Arkitektrådet- fokusområden 2013, ett dokument (en presentation) framtagen 2013-10-03. Dokumentet handlar om, som framgår av

rubriken, vilka fokusområden som Arkitektrådet har under 2013. Det framkommer att de ska fokusera på affärs/-verksamhetsstrategi samt ITstrategi. Det står även vilka uppdrag som finns under hösten/vintern 2013 samt vem/vilka som är anvariga för respektive uppdrag. I dokumentet finns det även med vad de har för löpande projektstöd och vilket deras löpande arbete är. Förutom detta så finns information om vad arkitektrådets uppgift och funktion är, där nämns bland annat att de arbetar med att implementera processer, utformar strategier samt skapa policys, riktlinjer och instruktioner. IT-Policy för Landstinget Västmanland, handläggare för denna policy är IT-direktören och fastställd av LF 2012-06-19 69. Det dels att syftet bland annat är att policyn klargör landstingets mål och grundläggande principer för utveckling och användning av IT. Det nämns även hur man ska arbeta med förutsättningar, policy samt kund- och medborgarperspektivet. Det framkommer bland annat att medborgaren alltid ska vara förvissad om att information hanteras i enlighet med gällande lagar och regler. Pågående aktiviteter är ett exceldokument där de uppdrag som nämns i dokumentet Arkitetsarådet- fokusområden 2013 finns även specificerade. Det framgår ej när dokumentet är framtaget. Där framkommer mer detaljerad information i form av aktivitet, ansvarig, beskrivning och status samt även kommentarer till de pågående aktiviteterna. I beskrivningen står det vad som ska göras i aktiviteten, status säker hur läget är just nu och i kommentarer framkommer bland annat förslag eller varför de genomför aktiviteten. Applikationer är en exellista framtagen av en extern konsult och utvecklad av IT-arkitekterna. I detta dokument framgår samtliga applikationer som finns inom landstinget, vilket är 572 stycken. I dokumentet kan man bland annat utläsa en beskrivning av applikationen, status om den är aktiv eller avvecklad och kontaktpersoner samt kommentarer i form av till exempel om den ska etableras, är etablerad eller om applikationen är samma som någon annan applikation. Landstinget Västmanland- Centrum för IT, IT Tjänster-Tjänsteutbud och avtal är en presentation där centrum för IT:s organisationsstruktur, hur de arbetar med förfrågningar samt deras tjänstekatalog finns presenterad. Dokumentet är framtaget 2012-05-21, av vem framgår ej. CIT-en tillbakablick från 2011 är även det en presentation där det presenteras vilka förändringar som gjorts på centrum för IT (CIT) det senaste 1,5 året. Det som bland annat har hänt är att de har en ny organisation, infört en Tjänstekatalog samt numera har ett Arkitektråd på plats. När detta dokument upprättade framkommer ej. Styrning av landstingets (system)förvaltningsarkitektur, portföljutskott 2013-02-25, är det också en presentation. Där framkommer vilket nuläget är, förvaltningsobjektsarkitekturen (FOA) presenteras i olika i nivåer samt olika objektsfamiljer anges och exempel på aktiviteter inom förvaltningsobjekten anges.

Bilaga 2 Roller som finns representerade i Portföljutskottet: IT-direktör, ordförande (har slutat) Ekonomidirektör Bitr Sjukhuschef Västmanlands sjukhus Kommunikationsdirektör Vårdvalschef IT-samordnare Primärvård/Psykiatri *) Adm direktör Basenhetschefer, Centrum för IT Chefsarkitekt, Centrum för IT Mera om portföljutskottet Portföljutskottet, PU, beslutar om utvecklingsmedel till utveckling/ersättning/komplettering av IT-stöd i Landstinget. Utvecklingsmedlen uppgår för 2013 till 44 mkr varav 12 går till Nationell utveckling med CEHIS som utförare. PU beslutar också vid behov om inbördes prioritering av personella resurser mellan uppdrag och projekt. Projekt med inslag av IT samordnas f.n. av projektkontoret inom Centrum för IT. Ansvarig är enhetschef. Särskild roll finns utsedd för projektmodellen och dess metodik. 2014-01-24 Göran Persson-Lingman Projektledare Gun-Britt Alnefelt Uppdragsledare