Fokus i arbetet med it-kostnader har legat på att introducera de tidigare definierade nyckeltalen till ytterligare ca 40 myndigheter samt samla in, kvalitetssäkra och analysera dessa. Samtidigt ville ESV pröva att definiera de nya nyckeltal som efterfrågades i det tidigare arbetet. Detta arbete har gjorts tillsammans med ca 20 myndigheter.
4.2.1 Drift, förvaltning och utveckling
En vidareutveckling från föregående års rapport över nyckeltal som efterfrågats från deltagande myndigheter är en uppdelning av kostnaderna i kategorierna drift, förvaltning och utveckling. Det finns ett flertal liknande begrepp som kan användas för att förstå uppdelningen. Då dessa begrepp är laddade med olika innebörd från början hos olika individer valde vi att använda följande begrepp för att fördela årets it-utgifter:15
säkerställa att allt ser ut i morgon som det gjorde i går
förbättra det som finns
ta fram ny funktionalitet.
Dessa tre begrepp ger ett underlag för att följa fördelningen av resurser över tid och kan bland annat användas för:
analys av balansen mellan reaktivt och framåtblickande som indikation på framtida behov av investeringar
analys/indikation av om fördelningen ligger i linje med strategiska beslut
15 Nyckeltalets olika beståndsdelar beskrivs i bilaga 3.
effektiviteten i styrning av utvecklingsinsatser kontra efterkommande
förvaltningsaktiviteter, d.v.s. om projekt skjuter över kostnader på förvaltning och en aktiv livscykelhantering
Fördelningen mellan de tre posterna bör i första hand användas som långsiktigt underlag för styrning och uppföljning inom respektive myndighet, samt på aggregerad nivå över samtliga rapporterande myndigheter. En direkt jämförelse mellan myndigheter är olämplig då fördelningen styrs av myndighetsunika strategiska val samt i stor grad påverkas av sådant som nya uppdrag som myndigheten inte kan styra över. Fördelningen passar väl som underlag för en diskussion kring hur aktivt myndigheten arbetar med långsiktig planering och hantering av tillgängliga medel givet dess behov av förändring respektive stabilitet.
Genomsnittet hos de myndigheter som rapporterat in fördelning av 2014 år it-relaterade utgifter följer den vedertagna presumtion som säger att fördelningen mellan ren drift och andra aktiviteter bör ligga runt 60/40. Detta antagande vilar bland annat på att en för hög grad av förändring dels leder till svårigheter att inom såväl it som övrig verksamhet ta emot och införliva förändringarna i verksamheten (förändringströtthet och förmåga att ta emot). Det byggs också upp en stor
tillkommande driftskostnad som, om det inte i förändringsaktiviteterna ingår effektivisering, riskerar att minska kommande års utrymme till förändring. En överbetoning åt andra hållet, med för stort fokus på att hålla befintliga lösningar i funktion, riskerar att skapa stagnation. En stagnation som leder till ovana att hantera förändringar samt en risk att den upparbetade utvecklingskulden hanteras genom ett för verksamheten mycket stort projekt i framtiden. Såväl forskning som analys av inrapporterade strategiska projekt pekar på att det är olämpligt och mer riskfyllt att driva stora projekt än att dela upp utvecklingsarbetet i mindre projekt.
Det finns dock stor variation i fördelningen. För att förstå om fördelningen är rätt för respektive myndighet måste en dialog föras kring aktuella förändringsinitiativ samt vad som genomförts historiskt. Nyttan av detta nyckeltal ökar när det går att jämföra över tid och ställa förändringar i fördelning i relation till beslutad strategi inom respektive myndighet.
Diagram 19. Fördelning av 2014 års it-utgifter för 15 myndigheter
Myndigheternas utgifter för att säkerställa it är i genomsnitt ca 60 procent, att förbättra det som finns drygt 20 procent och att ta fram ny funktionalitet knappt 20 procent. Det finns en stor spridning mellan myndigheternas fördelning av sina utgifter. En myndighets fördelning av sina utgifter mellan dessa tre delar kan variera över tiden. Det viktiga är att fördelningen speglar myndigheternas it- och
utvecklingsstrategi.
Fördelningen bör även ses i relation till förmågan att beräkna kommande kostnader för den it-utveckling som bedrivs. Flertalet av de myndigheter som redovisar stor grad utveckling har beräknat kostnaden för framtida drift av de stödjande
it-lösningarna. Detta är av vikt för att säkerställa att utveckling idag inte äter upp möjligheten att utveckla nytt imorgon. Dock saknas i många fall en beräkning av effekt och nytta i pågående utvecklingsinitiativ, vilket är en aspekt som behöver belysas inom respektive myndighet. ESV ifrågasätter om det är rimligt att lägga en stor andel av it-utgifterna på utveckling av ny funktionalitet utan att ha beräknat nyttor och tagit ställning till effekthemtagning.
4.2.2 It-incidenter
En central del i arbetet med att öka informationssäkerhet och stärka effektiviteten inom it är att arbeta systematiskt med att förebygga och hantera it-incidenter.
Myndigheterna i fördjupningsgruppen ombads även komma med uppgifter om
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Genomsnitt
Säkerställ att allt ser ut imorgon som det gjorde igår Förbättra det som finns
Ta fram ny funktionalitet
En incident är en oplanerad händelse som leder till avbrott eller störning i en tjänst eller en reduktion av kvaliteten av tjänsten eller en uppenbar risk att det blir en störning. En incidenthanteringsprocess ansvarar för att så snabbt som möjligt hitta en åtgärd som återställer tjänstens tillgänglighet. Syftet är att hantera incidenterna så att verksamheten påverkas så lite som möjligt av incidenten.
De rapporterande myndigheterna kunde lämna uppgifter om antalet incidenter under 2014 och hur de hade klassificerats. De kunde också lämna beskrivningar av de nivåer de använt sig av. Det indikerar att det finns en mognad avseende
incidenthantering. Nyckeltalet kan användas i en dialog med respektive myndighet eller inom myndigheten, som ett underlag för diskussion kring processmognad i hantering av it-incidenter. Vill vi göra jämförelser mellan myndigheter måste det finnas en medvetenhet kring att de underliggande definitionerna avseende olika klassningar skiljer sig åt och inte är standardiserade.
Ett flertal av de rapporterande myndigheterna angav ett relativt stort antal incidenter klassade som nivå ett, den allvarligaste graden av incident enligt deras egen
definition. Ett stort antal klass ett (1) incidenter kan indikera stora problem, men också peka på problem med klassificeringen. Det kan finnas ett behov av
förtydligande kring vad som bör klassas som högsta prioritet, men det är i dag en fråga för de aktuella myndigheterna för att om möjligt effektivisera prioritering och resursallokering internt.
Myndigheterna använder följande begrepp för att beskriva de olika nivåerna:
Nivå 1: kritiskt, blocker, verksamhetskritiska incidenter, prioritet 1 och 2, major Incident, critical,
Nivå 2: hög, Icke kritiskt, critical, prioritet 3, high, major incident
Nivå 3: medium, major, prioritet 4, incident, prio 0, medel, supportärenden Nivå 4: låg, minor, prioritet 5 och 6, low, medium, servicedeskärenden
Nivå 5: trivial, prioritet 7, 8 och 9, low, servicebegäran, incident, service request.
En myndighet kategoriserade inte incidenter med utgångspunkt i dess konsekvenser utan med utgångspunkt i typ av incident. Dessa är inte medtagna i beräkningen.
Diagram 20. Fördelning av incidenter
Myndigheterna rapporterade drygt 250 000 incidenter varav 359 kritiska incidenter (nivå 1), 1 044 nivå 2, 91 968 nivå 3 och 160 720 nivå 4 och nivå 5 incidenter.
4.2.3 Lagring
Utöver nyckeltalen för arbetsplats respektive telefoni ville ESV pröva att definiera ytterligare kostnader på komponent/tjänstenivå. Frågan diskuterades vid tre seminarietillfällen. Fokus hamnade på vikten av ett tydligt språkbruk och
definitioner. Det nyckeltal myndighetsgruppen ansåg det fanns ett värde i att testa och samtidigt möjlig att mäta var lagring. Kostnaden för lagring sjunker nu kraftigt, men det förutsätter vissa val. Mängden data myndigheterna behöver lagra ökar också kraftigt tillsammans med krav från verksamheten på tillgänglighet. Vikten av att segmentera informationen med ändamålsenliga service- och säkerhetsnivåer ökar därmed.
Flertalet svarande myndigheter har två eller fler SLA16-nivåer för lagring, vilket är positivt då det möjliggör ett val och en styrning av krav mot vad som behövs snarare än hur det levereras. Många har dessutom olika “pris” mot användare beroende på vald service- och säkerhetsnivå.
Några av de myndigheter som redovisade siffror relaterat till lagring kunde inte med rimlig arbetsinsats ange mängden använd lagring utan redovisade antingen endast tillgänglig mängd, alternativt samma på båda måtten. Av de som angav såväl
16 Service Level Agreement..
359 1044
90968
160720
1, kritisk 2 3 4,5 låg
tillgänglig som använd mängd ligger nyttjandegraden totalt sett på 74 procent med 100 procent som högsta (förklaras av att lagring köps som tjänst och att allokering då sker utifrån behov) och 62 procent som lägsta värde.
Av de 20 myndigheter som deltog i fördjupningsgruppen var det nio som inte rapporterade in något värde på kostnaden för lagring. Två av dessa nio kunde rapportera in volym av lagrad data.
Diagram 22. Kostnad för lagring, kronor per gigabyte
I det inrapporterade materialet var det två myndigheter vars värden indikerade kostnader på 92 respektive 164 kronor per gigabyte. Dessa värden bedöms ligga så långt från övriga att de inte redovisas ovan. Samtliga deltagare erbjöds efter den första inrapporteringen möjlighet att komplettera/ändra.
En slutsats av insamlat material och svarsfrekvens kring lagring är att det för många myndigheter initialt är svårt att ta fram siffror för mer specifika it-komponenter. Som motivering har bland annat anförts att bokföringen inte stödjer denna typ av
beräkning, samt att det tar för mycket tid i anspråk att beräkna såväl kostnad som faktiskt använd lagring.
Skillnaderna i lagringskostnad kan finnas i skillnad i komplexitet och prestanda, detta indikeras av de inrapporterade SLA-nivåerna som ligger till grund för lagrings-lösningarna. Dock lyfter flera myndigheter fram att värdet av att kunna jämföra sig är stort, varför en djupare diskussion mellan myndigheter som anser sig vara jämförbara kan visa sig fruktbar.
0 5 10 15 20 25
1 2 3 4 5 6 7 8 9
Snitt: 11,2 kr/GB
Att flera av de myndigheter som anses ligga i framkant uppenbart har stora problem att beräkna sina kostnader för lagring är oroande. Dels tyder det på låg mognad att beräkna it-kostnader på mer detaljerad nivå och dålig beredskap på att pröva it-försörjningen på denna nivå. Utan att känna till denna kostnad kan man inte ta ställning till utkontraktering eller jämföra kostnader.