Övergripande granskning av ITverksamheten



Relevanta dokument
Översyn av IT-verksamheten

Översyn av IT-verksamheten

Övergripande granskning av ITverksamheten. Härryda kommun

Tyresö kommun Granskning av IT-verksamheten Maj-juni 2013

Nynäshamns kommun Översyn av IT-verksamheten September 2012

Botkyrka kommun Revisionsrapport april 2014 Övergripande IT-granskning

SOLLENTUNA FÖRFATTNINGSSAMLING 1

PM DANDERYDS KOMMUN Kommunledningskontoret Johan Haesert KS 2008/0177. Översyn av IT- och telefonidrift - lägesrapport.

Förstudie: Övergripande granskning av ITdriften

KommunstYrelsen Vatten och Miljii i Viist AB Falkenberg Energi AB. Kommunfullmhktige - fdr khnnedom

Marks kommun Översyn av IT-verksamheten Redovisning av väsentliga iakttagelser Maj-juni 2012

MJÖLBY KOMMUN UTBILDNINGSFÖRVALTNINGEN. Roller och ansvar inom utbildningsförvaltningens IT-verksamhet IT-strategigruppen

Övergripande granskning av ITverksamheten. Halmstads kommun. Hösten 2011

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Från arkitektur till IT-styrning

Riktlinjer för IT i Lilla Edets kommun. 2. Syftet med IT i Lilla Edets kommun

Övergripande granskning IT-driften

Uppföljningsrapport IT-revision 2013

Hantering av IT-risker

Region Halland Översiktlig granskning av IT-verksamheten

Revisionsrapport. IT-revision Solna Stad ecompanion

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Granskning av risken för driftstopp i landstingets informationssystem

IT-styrning i privat och kommunal verksamhet - Undersökning av 400 organisationer Jon Arwidson, 7 maj 2008

IT-säkerhet Externt och internt intrångstest

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Övergripande granskning av IT-driften - förstudie

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Svar till kommunrevisionen avseende genomförd IT-revision

IT-strategi-Danderyds kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Svar på revisionsrapport om kommunens IT-strategi

Västerviks kommun Granskning av IT-verksamheten januari 2013

Västerås stad. IT-verksamhet i förändring. Att använda Best Practice och standards för att få ordning och reda ett verkligt case

Revisionsrapport. 1 Inledning. Revision av uppbördsprocessen Moms. Skatteverket Solna. Datum Dnr

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Granskning av lt-verksamheten

Riktlinjer för IT-säkerhet i Halmstads kommun

Göteborgs universitets IT-strategiska plan

IT-Strategi (7) IT-strategi KF 10/05

Generella IT-kontroller uppföljning av granskning genomförd 2012

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Ramverk för projekt och uppdrag

Härjedalens Kommuns IT-strategi

Region Halland Översiktlig granskning av IT-verksamheten

Kommunens författningssamling IT-strategi ÖFS 2010:17

IKT-strategi för Sjöbo kommun

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

IT-verksamheten, organisation och styrning

VETENSKAPSRÅDETS IT-STRATEGI

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

- Budget och uppföljning - Kundfakturor fakturor till kund/brukare - Leverantörsfakturor fakturor från leverantör - Lönehantering

Varför IT-strategi. Mål och värderingar. IT-STRATEGI FÖR TIMRÅ KOMMUN. FÖRFATTNINGSSAMLING Nr KF 10 1 (7)

Revisionsrapport. Översiktlig granskning av den interna styrningen och kontrollen * Sammanfattande resultat. Ljusdals kommun

Uppföljningsrapport IT-generella kontroller 2015

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige besluta att anta IT-strategi för Nykvarns kommun.

IT vid Göteborgs universitet. Lars Hansen (CIO) Hans Larsson (IT-chef) P-O Rehnquist (Förvaltningschef)

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Din kommuns väg till kostnadseffektiv IT-verksamhet

Övergripande granskning av IT-verksamheten i Bollebygds kommun. Uppföljning hösten 2013

Styrning, uppföljning och intern kontroll avseende IT-stöd Landstinget i Värmland. Revisionsrapport

Granskningsrapport: Granskning Uppföljande granskning IT- organisation och funktion.

Arbetsplatstjänsten / SUA

System- och objektförvaltning - roller

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhetspolicy för Ystads kommun F 17:01

Outsourcing IT. Fullmäktiges revisionsfunktion Anders Thunholm, KPMG PROTOKOLLSBILAGA G Fullmäktiges protokoll , 10

IT-plan för Söderköpings kommun

Digital strategi för Strängnäs kommun

Botkyrka Kommun. Revisionsrapport. Generella IT kontroller Aditro och HRM. Detaljerade observationer och rekommendationer.

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Riktlinjer för IT i Halmstads kommun

FÖRVALTNINGSGUIDE FGUIDE FÖR STOCKHOLMS STAD

Yttrande över revisorernas granskningsrapport om intern kontroll avseende investeringsprojekt. Ärendebeskrivning LULEÅ KOMMUN

PRAKTISK IT-STYRNING. Sammanfattning. Inledning och definitioner

FÖRHINDRA DATORINTRÅNG!

Ordning och reda förenklar styrningen,

REFERENSMODELL FÖR IT SERVICE MANAGEMENT

IT-policy med strategier Dalsland

Strategi Program Plan Policy» Riktlinjer Regler

Revisionsnämnden beslutade den 8 april 2013 att överlämna granskningen av internkontrollplaner till kommunstyrelsen.

ABCD. Ärendehantering Granskningsrapport. Säters kommun. Offentlig sektor KPMG AB Antal sidor:6 Säter är hant.docx

Styrande dokument inom IT-området

Om ITSM-barometern. Vi hoppas att även du tycker att rapporten är intressant och att du vill delta även nästa år. Tack än en gång för ditt deltagande!

Systemförvaltning. där delarna bli till en helhet. Styrning. Organisation. Processer. Jessika Svedberg, Kommunkansliet

Intern styrning och kontroll. Verksamhetsåret 2009

Kommunrevisionen KS 2016/00531

Att välja verktyg för portföljhantering. - Vad vet en leverantör om det?

Statusrapport. Digital Mognad i Offentlig Sektor

Exempel på mallar. Är din HR funktion. Liam Ulvhag

IT-SÄKERHETSPOLICY. Stadskontoret. 1 Inledning Definition Omfattning Mål för IT-säkerhetsarbetet... 2

Kommunens ITorganisation

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Service Level Agreement mall för kommunalt IT-stöd

EY:s uppdrag gällande analys av stödfunktionerna vid SLUs akademi i Alnarp

Handlingsplan baserad på Gatukontorets IT-strategi 2011

Transkript:

Övergripande granskning av ITverksamheten Februari 2006 (1)

1. Inledning PricewaterhouseCoopers (PwC) har på uppdrag av kommunrevisionen i Borås Stad genomfört en övergripande granskning av Borås Stads IT-verksamhet avseende områden såsom IT-strategi, IT-leverans, teknologi, personal, system och applikationer. Granskningen, vilken initierades för att kommunrevisionen skulle få en bedömning av ITverksamheten, har resulterat i denna skriftliga rapport. Resultatet av granskningen utgör ett underlag för att identifiera eventuella områden där det finns utrymme till förbättringar alternativt fördjupad analys. 2. Metod Under granskningen har ett verktyg (ITM) använts som bygger på en databas med best practice och benchmark för generell IT-verksamhet inom områdena IT-strategi, ITleverans, teknologi, personal samt system och applikationer används (se tabell nedan). Varje område är uppdelat på ett antal delområden (totalt 22 st) som i sin tur innehåller ett antal frågor. Område Utdrag ur innehåll IT-strategi Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur ska verksamheten hantera och styra IT? IT-leverans Teknologi Personal System och applikationer Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas ITstödet? Hur ligger kostnadsnivån i relation till värdet av IT? Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i verksamheten? Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och effektivitet)? Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga beslutsunderlag och vilka ytterligare behov finns? (2)

Informationsinsamlingen har utförts genom intervjuer med personal inom Borås Stad samt genom att ta del av relevant information som Borås Stad har tillhandahållit. Baserat på denna information har respektive delområde bedömts utifrån en femgradig skala. I bedömningen har förutsättningar och omständigheter, specifika för Borås Stad, vägts in i vår sammanfattande bedömning och slutsats. Sammanlagt 9 personer har intervjuats, varav en via telefon. Urvalet har varit strategiska IT-personer från kommunledningskansliet, ansvarig och operativ personal för IT-frågor på administrativa kontoret samt representanter från förvaltningarna. 3. Övergripande slutsats Intervjuerna och resultatet från verktyget (se bilaga 1 för grafisk presentation) kan sammanfattas som att: de ambitioner som Adk Data har avseende införande av kvalitetsramverket ITIL är bra samt bör fortsätta och utökas till fler områden än vad som omfattas idag inriktningen att verksamheten beställer och att Adk data ses som leverantör bör upprätthållas en uppdatering av den befintliga IT-strategin bör genomföras och en ITsäkerhetspolicy bör utarbetas. en tvärfunktionell formell IT-styrgrupp som årligen beslutar om inriktningen för IT-verksamheten bör bildas. den ekonomiska styrmodellen kan ge alltför svaga incitament till viktiga generella IT-satsningar, som t ex IT-säkerhet. Detta ökar risken att sådana satsningar inte genomförs i tillräcklig omfattning. Adk Data bör etablera en gemensam värdegrund och arbeta mer med individuell personal- och kompetensutveckling. Vidare visade granskningen att formaliseringsgraden och dokumentationen inom Adk Data generellt är låg. Samtidigt uppfattas roller och ansvar inom Adk Data, och mot övriga delar av Borås Stad, som otydlig. 4. Resultat per område Resultatet från respektive granskningsområde presenteras översikligt nedan. (3)

4.1 IT-strategi Inom området IT-strategi har följande iakttagelser gjorts: Avsaknad av uppdaterad IT-strategi försvårar styrningen av ITverksamheten. Dokumentet bör uppdateras och vikt bör läggas på att kommunicera och förankra innehållet samt att hålla det levande över tiden. En tvärfunktionell styrgrupp för strategiska ITfrågor bör inrättas. Där bör t ex en årlig IT-plan som anger inriktning, prioriteringar, satsningar och mål beslutas samt uppföljning av nyckeltal för IT-verksamheten följas upp. Adk Data bör satsa på att bli en mer strategisk samarbetspartner till verksamheten och uppfattas som en naturlig rådgivare i IT-frågor. I dag kommer Adk Data ofta in relativt sent i processen och används alltför sällan t ex vid förvaltningarnas förstudier av nytt ITstöd (mer än frågor som rör ren IT-drift). Detta innebär att Adk Data får en mer reaktiv än proaktiv roll. Den ekonomiska styrmodellen med en högst decentraliserad IT-budget, där förvaltningarna betalar för Adk Datas verksamhet, kan ge alltför svaga incitament till viktiga generella satsningar, som t ex IT-säkerhet eller kostnadseffektivitetsprojekt. Detta ökar risken att sådana satsningar inte genomförs eftersom nödvändiga medel redan fördelats ut i verksamheten. Vidare bör den prislista som Adk Data utarbetar som underlag till förvaltningarna för köp av tjänster mer ingående jämföras med vad andra kommuner tar ut för motsvarande tjänster. (4)

4.2 IT-leverans Inom området IT-leverans har följande iakttagelser gjorts: Adk Data bedriver ett projekt att införa kvalitetsramverket ITIL. Detta är bra och tyder på en medvetenhet att anpassa ITverksamheten till kundbehovet och effektivisera de interna processerna. Projektet bör fortsätta efter det att ITIL införts i supportverksamheten. Ett prioriterat område i nästa steg kan vara att införa s k Service Level Agreements (SLA) för att tydliggöra vad Adk Data förväntas leverera till verksamheten. En ökad satsning på att hitta lämpliga nyckeltal (t ex tillgänglighet) som mäter ITverksamheten med utgångspunkt från de övergripande målen och eventuella SLA:s bör genomföras och kommuniceras med övriga verksamheten. En dokumenterad och formaliserad process för ändringshantering saknas. Detta kan leda till risker t ex vid införande ny funktionalitet i IT-miljön men även att ej prioriterade ändringar genomförs. Ändringshanteringsprocessen bör även kopplas samman med en generell modell för projektstyrning. Ett ramverk för informationssäkerhet saknas. En informationssäkerhetspolicy bör utarbetas och fastställas och en underliggande dokumentationsstruktur bör implementeras för att reducera riskerna i bl a IT-verksamheten. (5)

4.3 Teknologi Inom området teknologi har följande iakttagelser gjorts: Det nätverk och den systemövervakning Adk Data byggt uppfattas generellt som ändamålsenlig. Vidare uppfattas tekniska stödsystem, t ex för införande av ny programvara, vara väl utvecklade och moderna i sin uppsättning. Den tekniska inriktningen och valda standards bör dokumenteras och formaliseras. En ökad standardisering kan också leda ökad kostnadseffektivitet inom driften. Vidare bör även säkerhetskrav ställas på infrastrukturkomponenterna (t ex servar och wlan). En kontinuitetsplan avseende förlorad strömförsörjning finns i dag. Dock saknas en formell kontinuitetsplan för hur Adk Data skall kunna upprättahålla ett acceptabelt verksamhetsstöd även i händelse av en katastrofsituation eller en mer omfattande störning. (6)

4.4 Personal Inom området personal har följande iakttagelser gjorts: Det initiativ att förbättra de interna attityderna inom Adk data som bl a anger ITpersonalens inställning till verksamheten och IT:s roll bör fortsätta med fokus att etablera en gemensam värdegrund. En plan för att säkra kompetens inom centrala områden och undvika nyckelpersonsberoende bör prioriteras. Detta, tillsammans med en satsning på individuella karriär- och utvecklingsplaner, bör genomföras för att minska riskerna vid personalomsättning. En viktig komponent för en fungerande IT-avdelning är en förståelse för verksamhetens behov och de relationer och den rollfördelningen som bör vara på plats för att IT ska utgöra ett adekvat stöd till verksamheten. Inom detta område bör Adk Data öka fokus och löpande arbeta med att internt utbilda personalen, t ex genom en ökad integrering och delaktighet i verksamheten. (7)

4.5 System och applikationer Inom området system och applikationer har följande iakttagelser gjorts: I relationen med verksamheten utgör Adk Data leverantör medan verksamheten är beställare. Denna relation bör upprätthållas. Dock bör Adk Data bli involverad på ett mer tidigt stadium, i många projekt, för att säkerställa att tekniska standarder följs som stödjer den övergripande arkitekturen. Att hålla flera applikationer med olika tekniska lösningar, t ex databashanterare eller operativsystem, i drift leder ofta till högre kostnader. Där det är möjligt bör verksamheten därför samordna de system och lösningar som önskas för att Borås Stad totalt sett ska få en kostnadseffektiv förvaltning. Avsaknaden av ett ramverk för informationssäkerhet innebär att även applikationssäkerheten kan bli lidande. Det är därför viktigt att dokumentation med riktlinjer kring säkerhet för applikationerna upprättas och kommuniceras till systemansvariga. Allmänt kan konstateras att systemdokumentationen är eftersatt för de flesta applikationer och system inom Borås stad. Detta ökar risken för bl a störningar i IT-systemen om personer slutar eller uppgraderingar ska genomföras. En genomgång av systemdokumentationen bör genomföras och generella minimikrav bör fastställas centralt. Ytterligare ett förbättringsområde är licenshanteringen. Avsaknad av strukturerad och formell licenshantering ökar risken för ekonomiska påföljder (t ex böter) och skapar sämre förutsättningar att bygga en effektiv IT-miljö. (8)

5. Sammanställning och förslag på prioriteringar Nedan anges en sammanställning av de observationer som bör åtgärdas. Respektive observation har fått en prioritet enligt skalan Låg, Medel respektive Hög. Hög Prioritet betyder att åtgärden bör initieras relativt omgående. Det kan vara områden där det föreligger en omedelbar risk för verksamhetsstörningar eller oönskade kostnader. Medel Prioritet betyder att åtgärd bör genomföras på medellång sikt, t ex inom ett år, men där risken för omedelbara verksamhetsstörningar kan anses mer begränsad. Låg Prioritet innebär att området bör bevakas och åtgärd initieras på längre sikt. Detta kan vara områden med en låg risk för verksamhetsstörningar eller där åtgärden kan betraktas som en generell underhållsfråga. Vissa åtgärder tar längre tid att införa och det kan vara lämpligt att gruppera åtgärder, även om de har olika prioritet, för att effektivisera förändringsarbetet. # Observation Prioritet Område Hög Medel Låg 1. Uppdatera IT-strategin IT-strategi 2. Definiera och inför ett ramverk för informationssäkerhet 3. Se över den ekonomiska styrningen och tilldelningen av medel för centrala och gemensamma IT-satsningar 4. Etablera en gemensam värdegrund inom Adk Data och satsa på individuella kompetens- och utvecklingsplaner. IT-leverans IT-strategi Personal 5. Inrätta en formell IT-styrgrupp IT-strategi 6. Upprätta årlig IT-plan IT-strategi 7. Utveckla nyckeltal som möjliggör uppföljning av IT-verksamheten IT-leverans (9)

8. Inför en strukturerad licenshantering System och applikationer 9. Gör Adk Data till en mer strategisk samarbetspartner inom Borås Stad 10. Dokumentera och formalisera ändringshanteringsprocessen 11. Standardisera den tekniska inriktningen och arkitekturen IT-strategi IT-leverans System och applikationer 12. Etablera en IT-kontinuitetsplan Teknologi 13. Gör en översyn av systemdokumentationen och fastställ centrala minimikrav System och applikationer (10)

Bilaga 1 Nedanstående bild visar översiktligt resultatet av alla områden: (11)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss