Revisjonsrapport nr 6/2012 Oversiktlig uppfoljning av ett anta) områden kopplat till IT



Relevanta dokument
Kommunstyrelsens arbetsutskott kallas till sammanträde Dag Tisdagen den 11 juni 2013 Tid Kl Nacka stadshus, sammanträdesrummet Jelgava

Sundbybergs stad. Granskning av delårsbokslutet Revisjonsrapport 2013 Genomford på uppdrag av revisorerna September 2013

Ornskoldsviks kommun

B~~~ ~ ~~~~~u ~~ GZ ~c~~~~~~ ~~, Revisjonsrapport nr 1/2013 Granskning av fastighetsunderhåll. Nacka kommun Revisorerna. Revisjonsskrivelse


Revisionsrapport 1 / 2010 Genomförd på uppdrag av revisorerna juni Haninge kommun. Granskning rörande kostnader Ungdomens hus

Haninge kommun. Granskning av stod till våldsutsatta kvinnor och barn som bevittnat våld .~~ =~ ERNST &YOUNG. '; ~.~ ~/ ~ ~ ~` mei' I" / `~ ~-

Samordningsförbundet Södra Roslagen. Årlig granskning 2014

P 4 Bilaga 4 Södra Roslagen

55 Dnr 2010/391 Antagande av leverantör för kommunens IT-drift

Övergripande granskning IT-driften

Tilldelningsbeslut upphandling IT-arbetsplatsrelaterad

Förstudie: Övergripande granskning av ITdriften

R EVISIONSRAPPORT NR 4/2007. Granskning av delårsrapport och delårsbokslut Nacka kommun

u,~,~i~,as v:~s~y kop ~ ~~

Matarengivägsprojektet

Uppföljning av tidigare granskningar


Ny förvaltningsorganisation

82 Yttrande - revisionsrapport Uppföljande granskning av kontroll, insyn och tillsyn av externa utförare

14 Granskning rörande kommunens hantering av IT - svar på revisionsskrivelse. Bilaga

KUNGSBACKA KOMMUN Nämnden för Teknik

IT-verksamheten, organisation och styrning

Granskning av årsredovisning 2012

Upphandling av IT-tjänster och outsourcing av delar av verksamheten

Granskning av projekt för anläggning av ny skytteanläggning

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Revisionsrapport Granskning av investeringsverksamheten.

Haninge kommun. Granskning av delårsbokslut o a =~ ERNST &YOUNG. ~~a~ c~-~ t `~J ~ ~~ c. Qualityln Everything We Do

STYRELSENS ARBETSORDNING. jämte. Instruktion avseende arbetsfördelning mellan styrelsen och verkställande direktören. samt

Granskning intern kontroll

RIKTLINJER. Riktlinjer för styrning av IT-verksamhet

Granskning av intern styrning och kontroll vid Statens servicecenter

Övergripande granskning av IT-driften - förstudie

REVISORERNA. Bilaga till revisionsberättelse

Revisionsrapport granskning av socialnämndens ekonomistyrning

Uppföljning. Granskning av upphandlingsverksamheten

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Revisionsrapport - Granskning av kommunstyrelsens arbete med intern kontroll


Skurups kommun. Granskning av styrning och intern kontroll i kommunale bolag Lekmannarevision 2012 =~ ERNST &YOUNG

Granskning av lönesystem

RÄTTVISANDE RÄKENSKAPER...2

Granskningsredogörelse Stadsrevisionen. Göteborg & Co Träffpunkt AB granskning av verksamhetsåret goteborg.

Avtalsförvaltning avseende Gemensam ITservice

Alingsås kommun. Utredning avseende leasing HIP' EY Building a better working world

Åtgärder för en ekonomi i balans

Informationssäkerhetspolicy för Vetlanda kommun

Granskning av Samordningsförbundet i Ånge Revisionsrapport. LANDSTINGETS REVISORER Revisionskontoret

KUNGSBACKA KOMMUN Kommunstyrelsen

q,,. Sundbybergs stad Granskning av intern kontroll med auseende på administrativa rutiner och finansiell rapportering =~ ERNST &YOUNG o ~ Q i' o

Finspångs kommun Revisorerna. Revisionsrapport Granskning av kommunstyrelsens uppsikt över nämnder och kommunala företag

IT-säkerhetspolicy. Fastställd av KF

Protokollsutdrag. 219 Svar revisionsrapport Kommunens styrmodell Dnr KS/2018:240. Beslut Kommunstyrelsen beslutar:

Skurups kommun. Granskning av det systematiska brandskyddarbetet inom åldreomsorqen. ~~ ~~~ imf' ~a~ ~ ~ ~oo~ 000avo, _~ ~0~00~~ o ~ o.- ~ o %.

Övergripande granskning av ITverksamheten

Informations- och kommunikationsteknologi. Smedjebackens kommun

Revisionsrapport Kommunstyrelsens arbete för en ekonomi i balans

Granskning av konsultanvändningen inom kommunstyrelsen organisation

Socialnämnden. Granskning av verksamhetsberättelse Halmstads kommun. Revisionsrapport.

Uppföljning av upphandling svar på revisionsskrivelse

Granskning av Intern kontroll

Nordmalings kommun. Granskning av hantering av tilläggsbeställningar. Rapport. KPMG 16 september 2010 Antal sidor 9

Åstor s kommun. Granskning av detaljplan- och bygglovsprocesserna =~ ERNST &YOUNG ~~ ~ ~ ~ ~

Ansvarsprövning 2014

Kommunstyrelsen och nämnder har ett särskilt ansvar för intern kontroll enligt kommunallagen (kap 6:1, 6:7).

Revisionsrapport 2012 Genomförd på uppdrag av revisorerna januari Vellinge kommun. Fastighetsunderhåll

Revisionsrapport Granskning av budgetprocessen och ekonomistyrning

Lunds kommun. Granskning av årsbokslut och årsredovisning Building a better working world

Ystads kommun. Granskning av avtalshantering =~ ERNST &YOUNG. ~~~~ ~ =ote ~,~-,.~å. Quality In Everything We Do

Revisionsrapport. Emmaboda kommun. Granskning av årsredovisning Caroline Liljebjörn Kristina Lindhe

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Riktlinjer för IT-säkerhet i Halmstads kommun

Projekt med extern finansiering styrning och kontroll

Förslag till beslut Landstingsstyrelsen föreslås besluta MISSIV LJ2012/518

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

Uppföljning av tidigare granskning av kommunens fordon

IT-Systemförvaltningspolicy

Åstorps kommun. Granskning av avtalshantering ~ ERNST &YOUNG

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Granskning av budgetförutsättningarna för Service- och tekniknämnden

Åstorps kommuns Övergripande IT-policy för Åstorps kommun

KUNGSBACKA KOMMUN Nämnden för Förskola & Grundskola

IT-policy med strategier Dalsland

Granskning av kontroller i investeringsprocessen. Trosa kommun

Revisionsrapport Bedömning av BKUs arbete för en ekonomi i balans

Södertälje kommun. Granskning av upphandling och hantering av avtal inom social- och omsorgskontoret och samhällsbyggnadskontoret

Informationssäkerhetspolicy IT (0:0:0)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Granskning av IT:s nytta ur ett verksamhetsperspektiv

Yttrande över revisionsrapport - granskning av kommunens IT-verksamhet

av samhällsbyggnadsnämndens ansvarsutövning Sandvikens kommun

Införande av lag (2008:962) om valfrihetssystem (LOV) inom särskilt boende inom äldreomsorgen

Granskning av inköpsrutinen och köptrohet

Granskning av kommunstyrelsens uppsikt 2018 över individ- och familjenämnden

Ovanåkers kommun. Ansvarsgranskning av kommunstyrelsen och nämnderna med inriktning mot intern kontroll. Revisionsrapport

Tjänsteskrivelse. Verifikationsgranskning juni Vår referens MN

Revisionsrapport: Granskning av bokslut och årsredovisning per

Revisionsrapport. Nerikes Brandkår. Granskning av ärendeberedning till Direktionen Anders Pålhed

Transkript:

Nacka kommun Revisjonsskrivelse Revisorerna 2013-03-26 Till Kommunstyrelsen Cc: Fullm~ktiges presidium Revisjonsrapport nr 6/2012 Oversiktlig uppfoljning av ett anta) områden kopplat till IT En outsourcing av kommunens IT-system har skett underår 2009. På uppdrag av oss fortroendevalda revisorer har Ernst &Young genomfort en oversiktlig granskning som syftar till att belysa hur planeringen for outsourcingen har skett och det beslutsunderlag som legat till Brund for beslutet. Vidare att v~sentliga parametrer beaktats i avtalet med leverantoren ur internkontrollsynpunkt samt s~kerhetssynpunkt. Granskningen omfattar också genomgång av ingångna avtal och kontroll/uppfoljning av dessa. Vidare konsekvenser av IT-kraschen hosten 2011 och åtgårder for att sikra upp att det finte hinder igen. Av rapporten framgår ett ental utvecklingsområden och brister som i vissa fall behover vara foremål for åtg~rder. Nedan lyfts serskilt fram ett ental noteringar och rekommendationer från rapporten: Beslutet om att genomfora en outsourcing av IT har hanterats som ett informationsårende i kommunstyrelsen. En så pass verksamhetskritisk och ekonomiskt vesentlig fråga som IT-drift i kommunen utgov, borde enligt vår uppfattning vara foremål for tydligare beslutsunderlag samt tydligare beslut i kommunstyrelsen. Frågan ~r av sådan principiell beskaffenhet att kommunfullm~ktige eventuellt borde ha fattet beslutet. De riskområden som lyfts fram i tj~nsteskrivelsen, som låg till Brund for informations rendet i kommunstyrelsen om outsourcing av IT, bedoms vara relevante men år av så pass våsentlig karakter att någon form av uppfoljning av vidtegna åtgårder borde ha gjorts i kommunstyrelsen innan beslutet sedermera fattedes om val av leverantorer. Vidare saknes kostnadsjåmforelserfor olika alternativ, vilket bedoms vara en brist. Effekter av outsourcing av Nacka kommuns mycket decentraliserade IThantering borde också tydligare ha beskrivits, då en sådan organisation ~r mer komplex att hentere for en IT-driftleverantor. samband med beslutet om val av leverantorer i kommunstyrelsen saknes det en tydlig redovisning av bedomda ekonomiska effekter av avtalen med de valda leverantorerna i forhållande till aktuell kostnadsnivå. Vidare saknes återkoppling och beskrivningar till vilka kvalitetsforb~ttringar som de nya avtalen innebår.

bifogad rapport I~mnas foljande fyra rekommendationer med forslag till utveckling av gallande avtal med Tieto, som bor beaktas av kommunstyrelsen: o Kontraktet bor inkludera en revisjonsklausul. o Gemensamma rutiner och processer bor inkluderes i kontraktet for att såkerst~lla att internkontroll och såkerhet ~r tydligt avtalat. Ansvar och kontroller auseende exempelvis backup och åndringshantering måste tydliggoras i kontraktet, liksom rutiner for att folja upp efterlevnaden av kontrollerna. o Nacka kommun bor genomfora en detaljerad genomgång av s~kerheten i uppr~ttade rutiner och processer som skall såkerstålla en fungerande samverken. o Kontraktet bor inkludere instruktioner for hur personuppgifter får behandles av personuppgiftsbitrådet, likeså bor kontraktet definiera lågsta nivå av tekniske och organisatoriske åtg~rder for att skydde personuppgifter mot obehorig åtkomst, forstorelse och indring. Det saknes en konsoliderad kostnadsuppfoljning av IT-kostnaderna i kommunen. Kommunen bor finfora någov form av systematisk samlad uppfoljning och analys av ITkostnaderna. Merkostnaden på såvål central som lokal nivå som ~r kopplad till den store valfrihet som finns vad gåiler val av datorer, system och program behover specificeras och i forekommende fall budgeteras. Innan finkop av datorer, system och program sker i verksamheterna bor det inforas rutiner som såkerst~ller att personal på central nivå med IT-kompetens kring kommunens samlede IT-miljo och driftsavtal gor en dokumenterad bedomning av totala kostnadseffekter samt upplyser verksamheterna om eventuelle begr~nsningar som kan finvas bl a vad gyller uppkoppling och åtkomst till Gentrala nit. Revisjonen står givetvis till forfogande for att besvare eventuelle frågor. Vi onskar svar från kommunstyrelsen på de noteringar och rekommendationer som framgår av rapporten. Svar onskas senest till den 31 maj 2013. For revisorerna i Nacka kommun F ~~ Birger Berggren' Ordforande Yvonne Wessman ice ordforande Bilaga: Revisjonsrapport nr 6/2012 Oversiktlig uppfoljning av ett ental områden kopplat till IT

Revisionsrapport 6/2012 Genomford på uppdrag av revisorevna Januari/februari 2013 Nacka kommun Oversiktlig uppfoljning av ett antal områden kopplat till IT ~~ ~ I r-r ~,, - ~~ ~ moo ~ ~~~ ~ ~ ~. ~\ ~~ : ~ ~~ 1 \ ~ ~ iii I~ ~ 1/ ~ ~, ~ ~ \~ ~, Mikael Sjolander Tobias Hermansson =~ ERNST &YOUNG Quality In Everything We Do

J ERNST &YOUNG Qualityln Everything We Do Innehåll 1 Inledning... 3 1.1 Bakgrund...3 1.2 Syfte och revisionsfrågor...3 1.3 Metod...3 1.4 Kort beskrivning av IT-organisationen i Nacka kommun...3 2 Har beslutsunderlagen varit tillr~ckliga och relevanta ur internkontrollsynpunkt och såkerhetssynpunkt isamband med outsourcing av ITverksamheten... 5 2.1 Protokoll och beslutsunderlag...5 2.2 Genomgång av avtal med Tieto gallande drift...6 3 Vilka åtgårder har vidtagits med anledning av IT-kraschen under hosten 2011 hostieto... 9 4 Finns en analys av orsakerna till att IT-kostnaderna avviker v~sentligt från budget...10 2

J ERNST&YovNc Quality In Everything We Do 1 Inledning 1.1 Bakgrund En outsourcing av kommunens IT-system har skett underår 2009. En oversiktlig granskning genomfors som syltar till att belysa hur planeringen for detta har skett och det beslutsunderlag som legat till grund for beslutet. Vidare att v~sentliga parametrar beaktats i avtalet med leverantoren ur internkontrollsynpunkt samt s~kerhetssynpunkt. En granskning genomfors också med auseende på ingångna avta) och kontroll/uppfoljning samt konsekvenser av IT-kraschen foregående host och åtgårder for att såkra upp att det finte hånder igen. 1.2 Syfte och revisionsfrågor Syftet med granskningen år att bedoma om beslutsunderlagen varit tillråckliga och Televanta ur internkontrollsynpunkt och såkerhetssynpunkt isamband med outsourcing av IT-verksamheten. Vidare att kartlågga vilka åtg~rder som vidtagits med anledning av ITkraschen under hosten 2011 hos Tieto. Granskningen omfattar också en oversiktlig analys av orsakerna till att IT-kostnaderna avviker våsentligt från budget. Granskningen utgår från foljande tre huvudsakliga revisionsfrågor: Har beslutsunderlagen varit tillr~ckliga och Televanta ur internkontrollsynpunkt och såkerhetssynpunkt isamband med outsourcing av IT-verksamheten. Vilka åtgårder har vidtagits med anledning av IT-kraschen under hosten 2011 hos Tieto. Finns en tillr~cklig analys av orsakerna till att IT-kostnaderna avviker v~sentligt från budget. 1.3 Metod Granskningen baseras, forutom på skriftliga beslutsunderlag och ingångna avtal, på intervjuer med IT-ansvariga inom kommunen. 1.4 Kort beskrivning av IT-organisationen i Nacka kommun Administrativa Birektoren har på stadsdirektorens uppdrag det overgripande ansvaret for IT frågor i kommunen. Under den administrative Birektoren finns det två enheter som Gentralt arbetar med IT-frågor. IT-enheten under ledning av IT-strategen arbetar med avtal som kommunen har, se till att de foljs och utvecklas. Enheten ansvarar for utvecklingen av IT-infrastrukturen så att den stodjer verksamheternas drift och utveckling. Enheten ger verksamheter och enheter stod i strategiske IT-frågor. Enheten har 6 tjånster inkl IT-strategen. Servicecenter leds av enhetschefen for serviceenheten (i enheten ingår åven intendenturen). Serviceenheten ~r forsta linjen for alla frågor från medarbetare ner det gyller IT och andra 3

J ERNST &YOUNG Quality /n Everything We Do frågor. Enheten tar emot felanm~lningar, hjelper till med bestållningar, foljer upp att fel åtgårdas och inom vilken tid det sker. Medarbetarna behover ta en kontakt ner de har problem. Sedan skoter servicecenter alla kontakt med leverautor och finterna enheter. Verksamheterna och enheterna har ofta en eller flera personer som ansvarar for IT-frågor. De kan ha olika roller beroende på behov och omfattning av verksamhet. Exempelvis kan de vara systemforvaltere, ansvariga for hur IT stodjer utvecklingen av verksamheten m m. Dessa hor organisatoriskt till den verksamhet/enhet som de arbetar vid. Både IT-enheten och servicecenter har kontakt med dessa personer både i olika grupperingar och enskilt. 4

J ERNST &YOUNG Quality In Everything We Do 2 Har beslutsunderlagen varit tillr~ckiiga och relevanta ur internkontrollsynpunkt och s~kerhetssynpunkt i samband med outsourcing av IT-verksamheten. Granskningen av beslutsunderlagen har dels omfattat en genomgång av relevanta protokoll i kommunstyrelsen kopplat till outsourcingen av IT, dels en genomgång av avtalen med Tieto. Genomgången av avtalen med Tieto gallande drift av IT-miljo har skett av en anstålld hos Ernst &Young med specialistkompetens inom IT-området. De handlingar som omfattats av genomgången framgår av bilaga 1. 2.1 Protokoll och beslutsunderlag Inom ramen for granskningen har vi begårt att få ta del av samtliga beslut som fattats i Kommunfullmåktige och Kommunstyrelsen kring outsourcing av IT-drift och ITarbetsplatser. Något beslut kring outsourcingen har finte fattats i kommunfullmåktige. Den 9 februari 2009 behandlar Kommunstyrelsen ett informationsårende som ben~mns "Utveckling av kommunens IT-drift". Kommunstyrelsen beslutar att notera informationen till protokollet. Handlingar i årendet år dels protokollsutdrag från arbetsutskottet den 27 januari 2009, 18, dels stadsledningskontorets tjånsteskrivelse den 8 januari 2009. Av tj~nsteskrivelsen framgår att kraven på tillgånglighet och omfattning på driften okar våsentligt och att det finte bedoms vara effektivt att kommunen sj~ly bygger ut den service och support som kr~vs for att mota de okade kraven. Dårfor foreslås att en upphandling av drift av gemensamma system bor genomforas. Vidare foreslå att åven IT-arbetsplatser bor upphandlas. Arbetsutskottets beslut år att foreslå att kommunstyrelsen noterar informationen till protokollet. Beslutet att outsourca IT har sålunda hanterats som ett informationsårende på politisk nivå. Av protokollet framgår att: "Katja Nylund (s) antecknade foljande till protokollett "Vi i Socialdemokraterna anser att Nacka kommuns IT-avdelning ~r oerhort viktig, har hogs krav på sig och måste fungera våldigt vål. DårFor skall det goras en grundlig utredning om hur IT-avdelningen skall se ut i framtiden. Skall det bedrivas i egen regi eller upphandlas? Vad finns det for nackdelar och fordelar med de olika alternativen, t ex tillg~nglighet, kostnader, risker, kompetens, geografisk placering etc. Detta bor redovisas till Kommunstyrelsen som skall få fatta beslut om hur man skall Bora i frågan. Vi anser finte att tj~nstemånnen skall fatta ett sådant beslut sj~lva." Av tj~nsteskrivelsen framgår att bedomda kostnader for att genomfora upphandlingen uppgår till ca 2 500 tkr. Projekt~gare ~r Mats Bohman med en styrgrupp bestående av bitr~dande stadsdirektor och ovriga direktorer. 5

J ERNST &YOUNG Quality In Everything We Do skrivelsen ingår en riskanalys dir sex riskområden lyfts fram. En kortfattad åtgårdsplan redovisas per riskområde. Bland de risker som lyfts fram finns "det saknas idag till stor del preciserade krav for systemdrift", "det saknas helhetsbild vad avser kommunens nåtverk med tanke på kapacitet och behov", "varierande syn på vilka SLA-nivåer som kråos", m m. Når upphandlingen genomforts fattar kommunstyrelsen den 30 november 2009 beslut om att anta leverantor dels for drift av kommunens IT-system (Tieto), dels for kommunens arbetsplatser (Atea). Det framgår av rendet att "Kostnadsmåssigt innebår båda anbuden att kommunen kommer att få mer vårde for samma kostnad som idag". Våra bedomningar.~ En så pass verksamhetskritisk och ekonomiskt vesentlig fråga som IT-drift i kommunen utgor, borde enligt vår uppfattning vara foremål for tydligare beslutsunderlag samt tydligare beslut i kommunstyrelsen. Frågan år av sådan prinsipiell beskaffenhet att kommunfullm~ktige eventuellt borde ha fattat beslutet. De riskområden som lyfts fram i skrivelsen, som låg till grund for informations rendet, bedoms vara relevante men år av så pass våsentlig karakter att någon form av uppfoljning av vidtegna åtg~rder borde ha gjorts i kommunstyrelsen innan beslutet sedermera fattedes om val av leverantorer. Vidare saknes kostnadsjåmforelser for olika alternativ, vilket bedoms vara en brist. Effekter av outsourcing av Naska kommuns mycket decentraliserade IT-hantering borde också tydligare ha beskrivits, då en sådan organisation ~r mer komplex att hentere for en IT-driftleverantor. samband med beslutet om val av leverantorer i kommunstyrelsen saknes det en tydlig redovisning av bedomda ekonomiska effekter av de både avtalen i forhållande till aktuell kostnadsnivå. Vidare saknes återkoppling och beskrivningar till vilka kvalitetsforbåttringar som de nya avtalen inneber. 2.2 Genomgång av avta) med Tieto gållande drift bilaga 1 framgår de dokument som legat till grund for granskningen. Våra bedomningar.~ Vår erfarenhet vid granskning av outsourcing av IT-drift ~r att detta år ett komplext område och att många organisationer/bolag har svårt att forutse vilken nivå på krayst~llandet som avtalen behover ha for att såkerst~lla en rimlig nivå av s~kerhet for den outsourcande parten betråffande vad som ingår respektive finte ingår i avtalad leverens. L '~

J ERNST &YOUNG Qualifyln Everything We Do Det kan konstateres att det ursprungliga avtalet med Tieto var av overgripande karakter och att det snabbt uppstod frågestållningar om vad som ingick respektive finte ingick i upphandlingen av IT-drift. Vidare finns begrepp i det ursprungliga avtalet som normalt finte anv~nds vid outsourcing av IT-drift (fråmst " begreppet systemdrift") vilket kan vara en bidragande orsak till oklarheterna som initialt uppstod. Ett stort ental till~ggsavtal har dårfor tillkommit vilket gor att den samlede biiden av avtalsrelationerna år relativt svåroverskådlig. Enligt uppgift från IT-ansvariga inom kommunen ~r man dock nu overens med Tieto i alla v~sentliga auseenden om vad som ingår respektive finte ingår i avtalad leverens. Samarbetet med Tieto fungerer vål och Tietos personal finns kontinuerligt på plats i Nacka kommunhus for genomgångar och ayst~mningar auseende såvel strategiske och taktfiska som tekniske frågor. Samverken med Tieto bedoms fungere vål i praktfiken men det återstår att tydligare dokumentere ansvar och roller. En grundl~ggande brist i det ursprungliga avtalet år att detta år enpassat for en mer homogen leverens av IT-drift ån den som Nackas långtgående decentraliserade ITorganisation renderer (se mer om detta under rubriken 5). Vår granskning av avtal med bilagor visar på foljande svagheter ur internkontroll- och såkerhetssynpunkt: Det saknes en revisjonsklausul i kontraktet, som såkerståller att leverantoren skall stilla upp på genomforande av revision av leverantorens kontraktsuppfyllande om Nacka kommun så onskar. Kontraktet beskriver endast samverken medan Tieto och Nacka kommun på en oversiktlig nivå. I bilaga till avfeiet beskrivs Samverkansmodell.Dir framgår att parterna gemensamt skall ta fram beskrivningar av gemensamma rutiner och processer dir sådans finte finns beskrivna. For exempelvis åndringshantering beskrivs att åndringar ska folja ITIL eller motsvarande process for ~ndringshantering, men det finns ingen beskrivning av ansvar och kontroller. bilaga till avfeiet finns "Tj~nstebeskrivning Systemdrift" som beskriver att det i tjånsterna åven ingår hantering av såkerhet, backup och återskapande av information, dokumentation samt åndringshantering. Det finns ingen beskrivning av vad detta inneber. Personuppgiftsbitr~desavtalet beskriver att personuppgiftsbitrådet och den eller de personer som arbetar under dennes ledning endast får behandla personuppgifter i enlighet med de instruktioner som anges i Huvudavtalet eller som från tid till annan låmnas av Nacka kommun. Vi har finte identifierat att några instruktioner har angivits i kontraktet. Vidare beskrivs att personuppgiftsbitr~det skall vidte skåliga tekniske och organisatoriske åtgårder for att skydde personuppgifter mot obehorig åtkomst, forstorelse och åndring. Dessa åtgårder finns finte beskrivna. 7

J ERNST &YOUNG Qualityln Everything We Do For att såkerstålla en god internkontroll och såkerhet låmnar vi foljande rekommendationer: Kontraktet bor inkludere en revisjonsklausul. Gemensamma rutiner och processer bor inkluderes i kontraktet for att s~kerst~lla att internkontroll och s~kerhet ~r tydligt avtalat. Ansvar och kontroller auseende exempelvis backup och åndringshantering måste tydliggoras i kontraktet, liksom rutiner for att folja upp efterlevnaden av kontrollerna. Nacka kommun bor genomfora en detaljerad genomgång av såkerheten i uppråttade rutiner och prosesser som skall såkerstålla en fungerande samverken. Kontraktet bor inkludere instruktioner for hur personuppgifter får behandles av personuppgiftsbitrådet, likeså bor kontraktet definiera I~gsta nivå av tekniske och organisatoriske åtg~rder for att skydde personuppgifter mot obehorig åtkomst, forstorelse och åndring. Vår granskning visar given på en del oklarheter auseende anv~nda begrepp och formuleringar, liksom hur incitamentsmodell och viten skall tolkes. Vi rekommenderar Naska kommun att tillsammans med Tieto finne en losning for att konkretisere kontraktet utifrån innehållet i denne rapport. Vi rekommenderar vidare att Naska kommun i kommande upphandling av IT-drift lavtalet toper ut 2015) stiller mer specificerade och tydliga krav på tjånsterna. Detta bekråftas också vara planerat av intervjuede tj~nstem~n finfor kommande upphandling. Åven om revisjonskrav finte har st~llts i avtalet så har kommunen begårt granskning av miljon efter den IT-krasch som skedde hosten 2011. Tieto har finte motsatt sig sådan granskning utan har medverket och åven finansierat delar av granskningen. r;~

J ERNST&YovNc Quality In Everything We Do 3 Vilka åtg~rder har vidtagits med anledning av IT-kraschen under hosten 2011 hos Tieto Nacka kommun drabbades v~sentligt av den "IT-krasch" som uppkom hos Tieto hosten 2011. Nacka kommun krevde, liksom andra drabbade organisationer/foretag forklaring av orsakerna till haveriet samt st~llde ut ett skadeståndskray. Kommunen kråode given beskrivning från Tieto av hur miljon såg ut samt verifiering av hur miljon kunde anses vara siker. Tieto h~nvisade till att miljons utformning till delar avser affårshemligheter varfor någon fullstendig beskrivning av orsakerna till haveriet finte har I~mnats. Tieto har dock enligt uppgift varit mycket tillmotesgående ialt omforhandla avtal, utveckla och dokumentere katastrofplanering for v~sentliga system, samt har redogjort for hur miljon på overgripande nivå år utformad, for att i hog grad såkerstålla systerrens funktionalitet hos Nacka kommun vid eventuell krasch. Kommunen har erhållit dels ett ekonomiskt skadestånd, dels en stor del av ovan beskriven utokad service utan kostnad. Kommunens tj~nstem~n inom IT bedomer att de åtg~rder som vidtagits medfort betydligt hogre s~kerhet i IT-driftens kontinuitet. Vid kommande upphandling av drift kommer kommunen enligt uppgift att i okad utstråckning kråva beskrivningar av hur miljon ~r utformad for att vara såkar, istållet for att andast kråva bekråftelse på att den ~r siker. ~7

J ERNST& YovNc Qualityln Everything We Do 4 Finns en analys av orsakerna till att IT-kostnaderna avviker v~sentligt från budget Nacka kommuns IT-kostnader har okat våsentligt de seneste åren. I denne oversiktlige granskning finns finte ambitionen att i detalj utreda vad orsakerna ~r då detta i sig år en komplex fråga som har många orsaker. Inledningsvis kan konstateres att ner avtalet med Tieto slots 2009 så fanns ca 5 000-6 000 anvåndare. Kommunen år nu uppe i 11 000-12 000 anv~ndare, vilket sålunde inneber en dubblering av entalet anv~ndare. Det saknes en konsoliderad kostnadsuppfoljning av IT-kostnaderna i kommunen. Vi har full forståelse for att det kan vara komplext att bedoma IT-kostnadernas nettoeffekt då ITkostnadertill delar ers~tter andra kostnader i form av exempelvis I~romedel, etc. Vi rekommenderar dock kommunen att som ett steg i att forb~ttra kostnadskontrollen finfora någon form av systematisk samlad uppfofjning och analys av kommunens samlede ITkostnader. For den centrals IT driften i Nacka uppråttas årsbokslut som ben~mns "IT verksamhetens årsredovisning 2012". Den bedomning som enheten sj~lva gor enligt Nacka kommuns egna styrsystem ~r foljande: Verksamhetsresultat Har beister Insatta resurser Br~~ Central IT-drift i Nacka redovisar ett underskott om 17,2 mnkr 2012. Nettokostnaderna budgeterades till -6 mnkr medan utfallet blev -24 mnkr. Den egna analysen från verksamheten ~r att avvikelserna beror på brister både i budgeteringen for 2012 och i ett ental åtg~rder som gjorts for att korrigere fel licensiering på administrationen. Den v~sentliga avvikelsen borde enligt vår uppfattning Tendere i en bedomning att åven finsetta resurser har brister. Av budgetavvikelsen 2012 forklares ca 10 mkr på viten från Microsoft på grund av otillråckliga licenser i Nacka kommun. Kontrollen over licenshanteringen har st~rkts. Den mer framtr~dande bristen vad gåiler kommunens kontroll over IT-kostnaderna bedoms vara att budgetering av IT-kostnader for kommunen som helhet finte skett på ett tillråckligt sitt. Kommunens organisation av IT, finte minst inom skolen, inneber en mycket långtgående decentralisering vad gyller inkopsbefogenheter. Enskilda skolor har kunnet vilja och kan vilja på en mångd olika alternativ vad gyller vilken typ av Jatorer, system 10

J ERNST &YOUNG Qualityln Everything We Do och programvaror som ska kopas in. Vidare i vilken omfattning såvål personal som elever skall utrustas med IT-utrustning. Ett problem som uppkommit har varit att de personer som fattar beslut om finkop av datorer, system och programvaror finte har kompetensen att bedoma de totala kostnadseffekterna av de finkop som gors for IT hos Nacka kommun som helhet. En stor mengd olika typer av datorer, system och programvaror genererer okade drifts- och hanteringskostnader. Idag finns enligt uppgift 15 olika modeller av datorer vilket ~r farre ~n tidigare. Vidare har den okade omfattningen på IT-miljon kravt betydande obudgeterade kostnader for kapacitetsutveckling hos kommunen. Ett exempel på problem som forekommet har varet att datorer kopts in som finte kunnet kopplas in overhuvudtaget och dir kommunen tvingats ta kostnaden, men åven att datorer kopts in som finte kan kopplas upp mot kommunens intran~t, vilket inneber att personalen i vissa fall måste ha tillgång till dubbla datorev. Eftersom budgeten tidigare finte har varet sårskilt specificerad for IT-kostnader ~r det svårt att dra tydliga slutsatser av vad avvikelserna mot budget beror på. Till och med år 2012 har den Gentrala IT-enheten finte fordelet ut samtlige kostnader som kan tyckas vara specifikt tillhoriga verksamheterna, vilket ~r tenkt att ske från och med år 2013. Detta inneber sannolikt att kostnaderna ytterligere kommer att oka i verksamheterna framover. For att få bittre kontroll over kostnadsutvecklingen har skotledningen (egen regi) stållt krav på kopstopp från skolor innan konsekvensbeskrivning for de totala kostnaderna tagits fram. Bestållningsr~tten på lokal nivå har också tagits bort. Detta år dock på våg att inforas egen då man anser att kontrollen har forst~rkts. Rekommendationer.- Merkostnaden på såvel central som lokal nivå som ~r kopplad till den stova valfrihet som finns vad gåtter val av datorev, system och program behover specificeras och i forekommende fall budgeteras. Innan finkop av datorev, system och program sker i verksamheterna bor det inforas rutiner som s~kerståller att personal på central nivå med IT-kompetens kring kommunens samlede IT-mifjo och driftsavtal gor en dokumenterad bedomning av totala kostnadseffekter samt upplyser verksamheterna om eventuelle begrånsningar som kan finnes bl a vad gyller uppkoppling och åtkomst till Gentrala nåt. En samlad och systematisk uppfoljning bor kontinuerligt ske av kommunens samlede IT-kostnader. Nacka den 20 mars 2013 Mikael Sjolander Tobias Hermansson 11

J ERNST&YovNc Qualityln Everything We Do Bilaga 1 Avtalsstruktur mellan Nacka kommun och Tieto Enlig systemdriftkontraktet mellan Nacka kommun och Tieto, signerat 2009, avser kontraktet tj~nst och omfattningen best~ms av kontraktshandlingarna. Kontraktshandlingarna kompletterer varandra om finte omst~ndigheterna foranleder ennat. Om ovriga kontraktshandlingar innehåller uppgifter som strider mot varandra skall handlingarna galla i foljande ordning: 1) Tillegg och endringar till kontraktet 2) Kontraktet med bilagor. A) Prisbilaga enligt betalningsplan och incitamentsoverenskommelse. B) Tidplan uppr~ttas gemensamt mellan parterna. C) Inforandeplan inklusive projektorganisation och genomforande uppr~ttas gemensamt av panterna. D) Tj~nsten systemdrift. E) Test och provrutin enligt anbudskomplettering daterad 2009-10-28 position 3. F) Supportavtal (SLA). G) Forhandlingsprotokoll 2009-12-03 G) Forhandlingsprotokoll 2009-11-24. G) Anbudskomplettering 2009-11-20 G) Forhandlingsprotokoll 2009-11-17. G) Anbudskomplettering 2009-11-16. G) Anbudskomplettering 2009-11-05. G) Forhandlingsprotokoll 2009-11-02. G) Anbudskomplettering 2009-10-28. G) Forhandlingsprotokoll 2009-10-23. G) Anbudskomplettering 2009-10-16. G) Forhandlingsprotokoll 2009-10-13. H) Samverkansmodell. I) Verksamhetsovergång enligt anbud position 3.6.2 svarsformul~r. J) Personuppgiftsbitr~desavtal. 3) Forfrågningsunderlag daterat 2009-07-10 diarienummer KFKS 2009/9-055. 4) Anbud daterat 2009-09-30. 12

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss