Hantering av IT-risker Landstinget i Östergötland Revisionsrapport Januari 2011 Jon Arwidson Magnus Olson-Sjölander Fredrik Eriksson Eva Andlert Certifierad kommunal revisor 1 av 10
Innehållsförteckning 1. Inledning... 3 1.1 Bakgrund... 3 1.2 Revisionsfrågor... 3 1.3 Metod, genomförande och avgränsningar... 3 1.3.1 Avgränsning... 4 1.3.2 Definitioner... 4 1.3.3 Landstingets IT organisation... 4 2. Revisionell bedömning och iakttagelser... 5 2.1. Landstingets organisation avseende IT... 6 2.2 Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom IT-området? 7 2.3 Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? 8 2.4 Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter?... 9 2.5 Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? 10 2 av 10
1. Inledning På uppdrag av revisorerna i Landstinget i Östergötland (LiÖ) har PwC genomfört en granskning avseende IT-riskhanteringen. Uppdraget inleddes med en förstudie som genomfördes under maj månad 2010. 1.1 Bakgrund Under senare år har frågan om riskhantering fått ökat genomslag. Att arbeta proaktivt för att undvika incidenter är numera en naturlig del av den dagliga verksamheten inom en organisation. En effektiv och framgångsrik riskhantering bygger på ett helhetsperspektiv. Kvaliteten, säkerheten och effektiviteten i organisationens interna processer ökar och organisationen skyddas mot t ex obehöriga dataintrång samtidigt som beredskapsmedvetandet stärks inom organisationen. Sammantaget bidrar en strukturerad riskhantering till ett ökat förtroende för verksamheten. För ett landsting är detta även viktigt ur ett patientsäkerhetsperspektiv. Hanteringen av risker inom IT-området får allt större betydelse då verksamheten blir allt mer beroende av stöd från IT-system. Inom landstingets verksamhet är användningen av IT utbredd och det finns en omfattande infrastruktur och ett stort antal system som hanterar alltifrån patientjournaler till löner. 1.2 Revisionsfrågor En genomförd förstudie inom området under maj månad 2010 indikerade brister avseende riskhanteringsprocessen. Denna granskning syftar till att bedöma landstingets arbete att hantera risker inom IT-området, från identifiering och prioritering till hantering och styrning. Följande övergripande revisionsfrågor ska besvaras: Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom ITområdet? Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter? Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? Granskningen genomförs utifrån risk- och väsentlighetsanalys och i enlighet med revisionsplan 2010. 1.3 Metod, genomförande och avgränsningar Som metod vid granskningen användes PwC IT Risk and Diagnostic Tool (ITRD), där intervjuer samt granskning av dokumentation utgjorde de mest centrala momenten. Eventuella avvikelser har stämts av med berörda personer löpande under uppdraget. Metoden i kombination med PwC Audit Guidelines täcker väl in de mest väsentliga delarna av LiÖs hantering av IT-risker enligt de huvudområden som listats nedan: 3 av 10
Övergripande styrning av IT IT-policys IT-processer Regelefterlevnad och uppföljning Roller och ansvar Incidenthantering I detalj innehåller ITRD 36 områden som behandlas med utgångspunkt i en riskbaserad ansats. Dessa områden inkluderas i varierande omfattning för att på bästa sätt anpassa granskningen till rådande förhållanden och omständigheter. 1.3.1 Avgränsning Granskningen avser främst IT utifrån infrastruktur, nät och system. Granskningen avgränsas till affärsområde IT inom FM centrum, Vårdprocesscentrum och sakkunniggruppen inom ledningsstaben. Vi har inte granskat specifika applikationer. Vidare har representanter från IT-samordnarfunktionen intervjuats för att fånga upp vårdens perspektiv på hantering av ITrelaterade risker. IT-samordnarfunktionen representerades av Sinnescentrum och IT-rådet, vilket representerar samtliga centrum. Medicinsk Teknik inkluderades under granskningens gång för att skapa en bredare bild kring hanteringen av IT-relaterade risker inom vården då Medicinsk Teknik har en tydlig koppling till vårdverksamheten respektive IT. Följande funktioner har berörts i revisionen (se även avsnitt 1.3.3 nedan); Ledningsstaben FM Centrum, FCIT (efter omorganisationen av IT benämns nu funktionen Affärsområde IT) Vårdprocess Centrum (VPC) Medicinsk Teknik Representation från IT-samordnarfunktionen 1.3.2 Definitioner Stödverksamheten definieras i denna rapport som VPC, FCIT samt Medicinsk Teknik. Vårdverksamheten avser landstingets kärnverksamhet d v s vården. 1.3.3 Landstingets IT organisation Landstingsledningen har under genomförandet av granskningen fattat beslut om att omorganisera IT. Genomförandet av denna förändring har ej gjorts fullt ut i organisationen vid tidpunkten för granskningen. PwC har dock i rapporten, vid svarande på revisionsfrågorna, tagit hänsyn till att ett beslut är fattat och att två av stödverksamheterna kommer att slås ihop till en. Se vidare information under kapitel 2. 4 av 10
2. Revisionell bedömning och iakttagelser Detta avsnitt sammanfattas de iakttagelser och bedömningar granskningen har gjort inom respektive revisionsfråga. Landstinget har beslutat att slå samman VPC och FCIT till en organisatorisk enhet. Antalet beröringspunkter mellan stödverksamheterna har i och med omorganisationen, när den väl införts, minskat. Nedan tabell beskriver trafikljusens betydelse på respektive revisionsfråga. Nivå Beskrivning Bristfällig och hög risk föreligger I stora drag bristfällig och relativt hög risk föreligger Delvis bristfällig och viss risk föreligger I stora drag ändamålsenlig och relativt låg risk förekommer Ändamålsenlig och låg risk föreligger 5 av 10
2.1. Landstingets organisation avseende IT En organisations effektivitet är beroende av de roller, ansvar och processer som finns definierade. För att förändra människors beteende vid en förändring krävs kommunikation och förankring till berörda personer inom och utom organisationen. Vid genomförande av organisatorisk förändring är ovan faktorer några av nyckelfaktorerna för att uppnå syftet med förändringen. Iakttagelse Beslutet att omorganisera IT-verksamheten inom LiÖ fattades under pågående granskning. VPC och FCIT kommer i steg ett att slås ihop till en organisatorisk enhet. Bedömning Vår bedömning är att förutsättningarna för att arbeta mer strukturerat och med större transparens ökar i och med den nya sammanslagna organisationen. En ny organisation innebär även utmaningar för verksamheterna, då två idag skilda verksamheter med olika typer av kultur ska slås samman till en gemensam enhet med en gemensam chef. Utmaningarna kring en sådan sammanslagning har också av landstinget identifierats, vid genomförda riskanalyser, inför den stundande sammanslagningen. För att fullt ut lyckas med en sammanslagning bör tydligare roller och ansvar utarbetas inom den nya stödverksamheten avseende IT-riskhantering. Beslutsforum behöver skapas där ITrisker behandlas med ett uttryckt mandat och där förhållanden mellan olika forum är tydliga. 6 av 10
2.2 Har landstinget ett ändamålsenligt arbetssätt rörande riskhantering inom IT-området? För uppnå en ändamålsenlig hantering av IT-risker krävs dels en övergripande styrning i form av ramverk inom informationssäkerhetsområdet (såsom ISO27000) och dels en kontinuerlig uppföljning av stödverksamheternas efterlevnad avseende de ramverk som på övergripande ledningsstabsnivå finns fastställda. Iakttagelse Övergripande styrning och dokumentation är etablerade avseende säkerhetsarbetet inom IT. Ett ledningssystem för informationssäkerhet är dokumenterat och följer ISO27000 standard. Arbetet på ledningsstaben drivs strategiskt och arbetet uppfattas enligt de intervjuade personerna ske strukturerat. En formaliserad uppföljning uppfattas av de intervjuade saknas gällande efterlevnaden av de beslutade styrande dokumenten. Vidare framkommer det vid intervjuerna att förståelsen för kraven och medvetenheten avseende de styrande dokument som finns fastställda varierande inom och mellan stödverksamheterna (FCIT, Medicinsk Teknik samt VPC). Bedömning Landstinget har på en ledningsstabsnivå ett föredömligt angreppssätt för hantering av ITrelaterade risker. Dock saknas en fullständig, strukturerad uppföljning kring IT-risker. Stödverksamheterna identifierar IT-relaterade risker. Dock är det oklart huruvida de följer de av ledningsstaben fastställda principerna på området. Förutsättningarna för att arbeta ytterligare strukturerat och mer ändamålsenligt bedömer vi som stärkta i och med den stundande omorganisationen inom IT. Ledningssystemet är omfattande och en möjlig förbättringsåtgärd är att utarbeta en dokumentation som är mer fokuserad mot respektive stödverksamhet inom LiÖ tillika som ett stöd för IT-samordnarna i deras dagliga arbete mot vårdverksamheten. Detta innebär att de övergripande kraven kommer att för stödverksamheten vara mer lättillgängliga samt att förståelsen för stödverksamheten bör öka i ledningsstaben. Vidare bör uppföljningen avseende efterlevnaden underlättas av ett mer, för stödverksamheten, anpassat ramverk. 7 av 10
2.3 Är roller och ansvar i processen för riskhantering inom IT-området tydligt definierade? För att uppnå en god riskhantering inom IT-området bör roller och ansvar vara tydligt definierade mellan och i stödverksamheterna. Ansvar bör tydligt kunna urskiljas och kommuniceras till berörda personer. Beroenden mellan funktioner med ett ansvar i riskhanteringsprocess bör vara kommunicerat och förankrat i organisationen för att uppnå en ändamålsenlig IT-risk hanteringsprocess. Iakttagelse Av intervjuerna framkommer att det råder oklarheter kring ansvaret avseende hantering av IT-risker mellan ledningsstaben, VPC, FCIT och Medicinsk Teknik. De olika stödverksamheterna har arbetat med fokus på sin stödverksamhet. Kopplingar emellan de olika enheterna har till stor del saknats. FCIT har exempelvis drivit en tydlig linje gällande den rent tekniska hanteringen av IT-risker, vilken idag uppfattas fungera fullt tillfredställande, samtidigt som de har haft en upplevd begränsad förståelse hur det går till i övriga delar av organisationen. Vidare är även förståelsen mellan stödverksamheten, till/från Ledningsstab, VPC, Medicinsk Teknik och FCIT, avseende hanteringen av IT-risker otydlig, enligt genomförda intervjuer. Vårdverksamheten (genom IT-samordnarna) har svårt att förstå IT-riskhanteringen inom stödverksamheterna, d v s vilka intressenter (VPC, FCIT etc) är involverade i hanteringen samtidigt som stödverksamheterna (Ledningsstab, FCIT, VPC) har svårt att förstå verksamheten. Forum (t ex IT-råd) har skapats för att hantera kopplingarna mellan verksamheterna, dock upplevs dessa forum som ej fullt ut implementerade. IT-rådet har endast träffats vid ett fåtal tillfällen. Syftet med IT-rådet är till viss del definierat men upplevs av stödverksamheterna som otydligt. Roller och ansvar upplevs som oklart av stödverksamheterna och de har svårt att se kopplingen till övergripande styrning kring IT-risker. Bedömning Personer är tillsatta på övergripande landstingsnivå med ansvar för riskhantering inom IT. Det råder dock oklarheter i gränssnittet mot och mellan de olika stödverksamheterna som är involverade i leveransen av IT till vården. Vår bedömning är att den stundande omorganisationen inom IT kommer att skapa bättre förutsättningar för att tydliggöra roller och ansvar inom IT-riskhantering och därmed stärka processen för identifiering och hanteringen av ITrelaterade risker. Ytterligare ett sätt att stärka hanteringen av IT-risker skulle vara att tydligare definiera ansvaret kring IT- riskhantering på alla nivåer inom alla landstingets verksamheter. 8 av 10
2.4 Inkluderar riskhanteringsprocessen effektiv kommunikation mot samtliga intressenter? För att uppnå en effektiv kommunikation i och mellan stödverksamheter krävs definierade tydliga roller och ansvar kring hantering av IT-risker samt att en process för hur kommunikationen ska hanteras bör finnas etablerad. Iakttagelse Kommunikationen har till stor del skett inom respektive stödverksamhet. Ledningsstaben har det normgivande ansvaret och respektive verksamhet ansvarar för att uppfylla och återrapportera enligt den struktur som fastställt på ledningsnivå. Kommunikation kring risker och beroenden mellan stödverksamheter hanteras till viss del ad hoc. Ledningsstaben har dock noterat att när incidenter inträffar (t ex fel i Cosmics läkemedelsmodul) så har landstinget ett ändamålsenligt arbetssätt och hanterar uppkomna situationer. Bedömning Stödverksamheterna involverade i leveransen av IT till vården arbetar till stor del inåtriktat avseende IT-risker, d v s. begränsad kommunikation sker mot övriga vårdverksamheter och mellan stödverksamheterna. Uppföljning på övergripande nivå sker i begränsad omfattning. Precis som under ovanstående fråga är vår bedömning att förutsättningarna ökar för att ytterligare förbättra kommunikationen avseende riskhantering inom landstinget i och med den stundande omorganisationen. Om ett tydliggörande görs avseende ansvaret kring ITrelaterade risker enligt föregående revisionsfråga kommer förutsättningarna för att kommunicera mer effektivt att öka och relevanta intressenter kommer ha större förutsättningar at ta del av rätt information vid rätt tillfälle. Kommunikationen mellan FCIT och övriga stödverksamheter bör ytterligare stärkas då alla verksamheter är beroende av IT, men IT är också beroende av verksamheten för att skapa en ändamålsenlig hantering av IT- och verksamhetsrisker. 9 av 10
2.5 Adresserar landstingets riskhanteringsprocess de mest väsentliga riskerna inom IT? För att identifiera IT-risker krävs en strukturerad och genomarbetad metod. Metoden bör sträcka sig från övergripande nivå ner till den verksamhet som IT stödjer. En kontinuerlig uppföljning bör ske för att säkerställa att relevanta åtgärder vidtas inom rimlig tid. Iakttagelse Övergripande riskanalyser initieras av ledningsstaben. En checklista (RH-check) finns framtagen för hela landstingets verksamhet (kärn- och stödverksamheterna) som ska användas löpande för att t ex identifiera IT-relaterade risker. Dock poängteras av stödverksamheterna, främst Ledningsstaben, att det föreligger utvecklingspotential kring uppföljning och kommunikation mellan verksamheterna för t ex RH-check. Vi har dock noterat att landstinget under perioden för vår granskning utvecklat uppföljningen kring RH-check. Beroenden mot specifika kompetenser har lyfts fram av stödverksamheterna som både en nyckelframgångsfaktor (dessa personer har med stort engagemang hanterat uppkomna incidenter inom t ex IT) men också en stor risk, då hanteringen har varit högst personberoende. Bedömning Landstinget fångar till stor del upp de IT-risker som finns inom verksamheten, dock saknas en samlad bild av de IT-risker som landstinget står inför. Vid sammanslagning av FCIT och VPC är vår bedömning att riskhanteringsprocessen har större förutsättningar att kunna identifiera och värdera ytterligare IT relaterade risker. Vår uppfattning är att förutsättningarna för vården, som en naturlig del av det dagliga arbetet, att arbeta med riskhantering ökar om ovan faktorer, under respektive revisionsfråga, beaktas vid skapande av den nya organisationen. 10 av 10