Regeringsuppdrag. Rapport Fördjupat it-kostnadsuppdrag. Delrapport 2: Kartläggning av it-kostnader

(1)

Regeringsuppdrag

Rapport

Fördjupat it-kostnadsuppdrag

Delrapport 2: Kartläggning av it-kostnader

(2)

Publikationen kan laddas ner från ESV:s webbplats esv.se.

Datum: 2015-10-23 Dnr: 139/2015 ESV-nr: 2015:58 Copyright: ESV

Rapportansvarig: Magnus Gunnarsson

(3)

Förord

Ekonomistyrningsverket (ESV) har fått i uppdrag av regeringen (N2015/738/EF) att fördjupa arbetet med jämförelser av de statliga myndigheternas it-kostnader och hämta in information om vilka strategiska it-projekt som myndigheterna driver och som bedöms ha en högre risk vad gäller nytta och budget. ESV ska också utarbeta förslag till hur mätning och rapportering av de statliga myndigheternas it-användning kan utvecklas och hur statsförvaltningens digitalisering kan följas upp.

Uppdraget ska rapporteras till Regeringskansliet (Näringsdepartementet) senast den 31 maj, den 30 oktober och den 31 december 2015. Denna rapport innehåller den kartläggning av it-kostnader som ska redovisas till Regeringskansliet senast den 30 oktober 2015.

ESV vill rikta ett stort tack till myndigheterna som deltagit i arbetet och till Kammarkollegiet och MSB.

I detta ärende har generaldirektör Mats Wikström beslutat. Utredaren Magnus Gunnarsson har varit föredragande. I den slutliga handläggningen har även

avdelningschefen Eva Lindblom, enhetschefen Tina J Nilsson samt utredarna Patrick Freedman och Svante Andersson deltagit. Utredaren Leif Lind och konsulten Klas Söderlund har deltagit i arbetet.

(4)

Innehåll

Förord ... 3

1 Sammanfattning ... 6

2 Inledning ... 8

2.1Uppdraget ... 9

2.2ESV:s tolkning av uppdraget ... 10

2.3Tidigare rapporter inom området ... 11

2.3.1 It-kostnader ... 11

2.3.2 Andra rapporter om styrning av it ... 12

2.4Utvecklingen av it-kostnader i staten över tiden ... 14

2.5Genomförande ... 16

3 Mognadsmätning ... 18

3.1It-mognad - läget 2014 hos 60 myndigheter ... 19

3.1.1 Strategi för it-försörjning (sourcing) ... 19

3.1.2 Förvaltningsmodell för it ... 20

3.1.3 Projektmodell ... 21

3.1.4 Portföljstyrning ... 22

3.1.5 It-kompetensförsörjningsplan ... 22

3.1.6 Modell för nyttohemtagning ... 23

3.1.7 Kostnadsjämförelser med andra myndigheter eller aktörer ... 25

3.1.8 Sammanfattning av mognadsmätningen för 2014... 25

3.1.9 Mognadsmåtten och ledningen ... 27

3.2Informationssäkerhet – en viktig del av it-mognad och intern styrning och kontroll ... 27

3.3Förslag till utveckling från deltagande myndigheter ... 29

3.4Sammanfattning av iakttagelser avseende mognadsmätningen ... 30

4 Nyckeltal ... 32

4.1It-kostnader – läget 2014 hos 60 myndigheter ... 32

4.1.1 It-kostnad som andel av verksamhetens kostnader ... 33

4.1.2 It-investeringar som andel av verksamhetskostnad ... 39

4.1.3 Inhyrd it-personal som andel av total it-personal... 45

4.1.4 It-kostnad per användare ... 49

4.1.5 Andel utkontrakterad it-verksamhet som andel av it-kostnad ... 51

4.1.6 Kostnad per it-arbetsplats ... 55

4.1.7 Kostnad för telefoni per användare ... 60

4.2Nya nyckeltal ... 63

4.2.1 Drift, förvaltning och utveckling ... 63

4.2.2 It-incidenter ... 65

4.2.3 Lagring ... 67

4.3Sammanfattning av iakttagelser avseende nyckeltalen ... 69

5 Det fortsatta arbetet ... 71

5.1Förslag till fortsatt arbete ... 72

(5)

Referensgrupper ... 75

Referenser ... 77

Bilaga 1 Regeringsuppdraget ... 78

Bilaga 2 Definitioner av underliggande information ... 82

Bilaga 3 Definitioner av nya nyckeltal ... 84

(6)

1 Sammanfattning

Den här rapporten är resultatet av en resa som ESV har gjort tillsammans med drygt 60 myndigheter, varav majoriteten omfattas av förordningen om intern styrning och kontroll, genom totalt nio seminarier. ESV har tillsammans med 20 av myndigheterna identifierat nya nyckeltal. ESV har fört ut nyckeltalen till drygt 40 av myndigheterna som inte tidigare beräknat dessa. Nyckeltalen är nu förankrade och beräknade i drygt 60 myndigheter. Resultatet av arbetet är inte endast en rapport, utan också ett omfattande lärande.

ESV anser att det är rimligt utifrån kraven i myndighetsförordningen tredje och fjärde paragraf om effektivitet och hushållning samt intern styrning och kontroll att myndighetsledningarna gentemot regeringen kan verifiera effektiviteten i

myndighetens it-verksamhet. En förutsättning för att kunna göra det är att det finns ett ramverk för att bedöma myndigheternas it-mognad och it-kostnader. Därför är det viktigt att det påbörjade arbetet fortsätter.

Ett ramverk för att mäta myndigheternas it-mognad möjliggör för myndigheternas ledning att regelbundet pröva hur väl myndigheterna tar tillvara på möjligheterna med digitaliseringen och effektiviteten i it-verksamheten. Det möjliggör också för myndighetsledningarna att uppfylla sitt ansvar gentemot regeringen. Betydelsen av it kommer inte minska, varken som kostnad eller möjliggörare. Drygt 40 procent av de deltagande myndigheterna anger att it-kostnaderna bör öka och hälften att de ligger på en tillfredsställande nivå.

Den här rapporten väcker många frågor men kan ändå ligga till grund för ett antal ställningstaganden. ESV:s bedömning är att myndigheternas interna styrning och kontroll med fokus på it behöver utvecklas och stärkas. Särskilt tydlig är det inom områdena it-försörjning, portföljhantering och nyttorealisering. ESV konstaterar att:

 myndigheterna som ingått i arbetet lade 15,5 miljarder kronor på it under 2014

 knappt hälften har en aktuell och fungerande strategi för sin it-försörjning

 15 procent av myndigheterna saknar helt en it-försörjningsplan

 20 procent av den personal som arbetar med it är inhyrd och 14 procent av verksamheten är utkontrakterad.

 myndigheterna har en portfölj med strategiska it-projekt som uppgår till 8,5 miljarder kronor, varav 2,5 miljarder kronor avser 2015

 bara knappt en tredjedel av myndigheterna har en portföljstyrning som används fullt ut

 endast 17 procent av myndigheterna har en beslutad modell för nyttohemtagning som efterlevs.

(7)

Vad gäller kostnader och nyckeltal ser ESV att det är stora skillnader mellan myndigheterna. Skillnaderna förklaras bland annat av den mångfacetterade

verksamheten vid myndigheterna och att det för många av myndigheterna är första gången de använder definitionerna. Samtidigt skönjer ESV vissa mönster, till exempel att mindre myndigheter har högre andel it-kostnader jämfört med större myndigheter och att mindre myndigheter investerar mer i it. För vissa nyckeltal som kostnad för it-arbetsplats kan det, enligt ESV:s bedömning, ifrågasättas ifall

skillnaderna mellan myndigheterna är berättigade eller om det visar på ett utrymme för effektiviseringar. ESV anser att det finns behov att stärka förmågan att beräkna it-kostnader och öka kostnadsmedvetenheten i statsförvaltningen. Med ett ramverk skapas förutsättningar för jämförelser och lärande. Det underlättar när

myndighetsledningarna ska prioritera och ta tillvara it som möjliggörare för

verksamhetsutveckling. Därutöver är det också ett stöd för myndighetsledningarna i att förverkliga regeringens politik.

ESV föreslår att arbetet med mognadsmätning och nyckeltal fortsätter och utvecklas, till exempel genom att gruppen med myndigheter vidgas. Genom att fler myndigheter deltar i arbetet kan till exempel myndighetsspecifika analysunderlag utvecklas.

Genom att utveckla ett ramverk för it-kostnader på komponentnivå i staten kan myndigheterna få stöd att besvara många av de frågor som väcks i denna rapport, samt möjlighet att jämföra sig på en mer verksamhetsoberoende nivå, både inom och utom staten. Flera myndigheter arbetar idag enskilt med utgångspunkt i flera olika ramverk. Genom att myndigheterna får tillgång till ett gemensamt ramverk i staten kan myndigheter på ett enklare sätt och i högre grad jämföra, utveckla och

effektivisera tillhandahållandet av it.

En utvecklad mognadsmätning kan bidra med underlag för att svara på frågan om myndigheternas digitala mognad och myndigheternas förmåga att tillhandahålla it effektivt. Det kan stärka myndighetsledningarna så att de i högre grad än idag kan ha fokus på it som möjliggörare och agera därefter.

ESV kan genom att utveckla vägledningar, utbildningar och främja samverkan bland annat inom nyttorealisering, stödja myndigheterna i deras arbete att stärka ett

effektivt tillhandahållande av it, den interna styrningen och kontrollen samt förmågan att använda it som möjliggörare för verksamhetsutveckling.

ESV ska i detta uppdrags slutrapport lämna förslag till regeringen på hur mätning och rapportering av de statliga myndigheternas it-användning kan utvecklas och hur statsförvaltningens digitalisering kan följas upp. ESV avser då att återkomma med mer utvecklade förslag än de som lämnas i denna delrapport.

(8)

2 Inledning

It är grundläggande för myndigheternas verksamhet. It utgör en betydande kostnad för staten som helhet. Det är viktigt att ha en god bild av statliga myndigheters it- användning. Statsförvaltningen ska i större utsträckning tillsammans utveckla och dela digitala lösningar som skapar en enklare, öppnare och effektivare förvaltning till nytta för medborgare och företag.

Statsförvaltningen ska utnyttja skattemedel ändamålsenligt och inte använda mer resurser än vad som krävs för att nå avsedda resultat med tillräckligt god kvalitet.

Myndigheterna ska gemensamt ta tillvara stordriftsfördelar och bedriva gemensam utveckling. Regeringen har för att stödja en sådan utveckling tidigare bland annat tagit initiativ till E-delegationen, Statens servicecenter och utvecklingsansvariga myndigheter. Flera förvaltningsövergripande projekt har också startats som e-legitimation, e-faktura och e-beställningar. I samband med att E-delegationen avvecklades har ESV fått utökade uppdrag inom området. ESV ska bland annat, i samarbete med utvalda myndigheter, stötta myndigheterna under de olika faserna i utvecklingsprocessen och bidra till att förbättra regeringens förmåga att styra, samordna och följa upp de statliga myndigheternas arbete med att digitalisera förvaltningen under 2015-2018.

I regeringens handlingsplan för e-förvaltningen från 2008 är ett mål att statens samlade it-kostnader ska följas upp löpande. Vidare sägs att oberoende av typ av process kan kostnaderna för it-stöden till exempel delas upp i utvecklingskostnader och driftskostnader. Regeringen anger vidare att generellt sett bör driftskostnaderna pressas ner för att frigöra resurser för utveckling och genom att harmonisera redovisningen av it-kostnader kan förutsättningar för effektiva jämförelser skapas.

I budgetpropositionen för 2016 (prop. 2015/16:1, utgiftsområde 22, s 120) skriver regeringen att den bedömer att digitala tjänster så långt det är möjligt och där det är relevant ska vara förstahandsvalet i den offentliga sektorns kontakter med

medborgare, organisationer och företag.

När det gäller företagens uppgiftslämnande till statliga myndigheter bedömer

regeringen att detta i huvudsak bör göras elektroniskt. Det skulle i många fall leda till färre felaktiga uppgiftsinlämningar och göra det lättare för företag att få besked om handläggningen av deras ärenden.

Regeringen skriver vidare att försörjningen av system för elektronisk identifiering och underskrift är av största vikt. Rutinerna för identifiering och underskrift i

(9)

samband med användning av digitala tjänster bör fungera på ett enkelt sätt för användaren, oavsett om denne befinner sig i Sverige eller utomlands. Rutinerna måste dessutom bidra till en hög säkerhetsnivå.

Regeringen skriver också att digital samverkan är en fråga som får allt mer fokus inom EU. Gemensamma principer som tagits fram och implementerats i medlems- staterna kommer att revideras på EU-nivå, vilket kommer att kräva en nationell anpassning. Arbete och erfarenheter från e-förvaltningsarbete inom EU kan vara till användning i den svenska förvaltningen. Myndigheterna bör sträva mot öppna data såväl mellan varandra som till enskilda.

Regeringen konstaterar även att strategin för EU:s digitala inre marknad också kommer att ha stor inverkan på det nationella e-förvaltningsarbetet. Standarder på it- området kommer att spela en allt större roll för att skapa återanvändbara lösningar.

Regeringen anser också att digitala tjänster i så stor utsträckning som möjligt bör bygga på öppna standarder och om möjligt använda programvara som frigör statsförvaltningen från beroendet av enskilda tekniska lösningar.

2.1 Uppdraget

Den 15 januari 2015 gav regeringen ESV och de myndigheter som omfattas av internrevisionsförordningen (med undantag för Försvarsmakten, Polismyndigheten, Försvarets materielverk och Totalförsvarets forskningsinstitut) samt Bolagsverket ett uppdrag att fördjupa arbetet med it-kostnader och it-projekt. Det ska göras med utgångspunkt från rapporten It-kostnadsmodell (ESV 2014:50).

ESV ska med stöd av en arbetsgrupp med representanter från statliga myndigheter identifiera och definiera fler nyckeltal för jämförelse av de statliga myndigheternas it-kostnader. De deltagande myndigheterna ska ta fram grundläggande information och beräkna nyckeltal i enlighet med de definitioner som ESV utarbetat. Underlaget som inhämtas från myndigheterna ska även omfatta de strategiska val ESV beskriver i sin rapport It-kostnadsmodell. ESV ska tillhandahålla stöd till myndigheterna för beräkning av nyckeltal. ESV ska också fördjupa analysen av skillnaderna mellan olika myndigheter och identifiera möjligheter till samverkan mellan myndigheter för att öka effektiviteten inom området.

Arbetet ska på sikt bidra till ett lärande för berörda myndigheter.

Kartläggningen av it-kostnader ska redovisas till Regeringskansliet (Näringsdepartementet) senast den 30 oktober 2015.

(10)

2.2 ESV:s tolkning av uppdraget

Syftet är ytterst att bidra till en effektiv statsförvaltning genom effektivare användande och tillhandahållande av it. Detta genom att bidra till en förstärkt styrning och samordning av den övergripande it-användningen i statsförvaltningen och en förstärkt uppföljning av de statliga myndigheternas it-användning.

Det finns i dag inte några färdigutvecklade system eller processer för att fånga it-kostnader eller uppgifter om myndigheternas it-verksamhet. Det saknas tillräckligt tillförlitliga uppgifter för kostnader för drift, förvaltning och utveckling av it i staten.

Detta leder till att myndigheterna inte har tillgång till några gemensamma verktyg för att enkelt och kostnadseffektivt kunna följa sina kostnader över tiden eller jämföra sig med andra myndigheter. Det gör det svårt att bedöma om it används effektivt, både för myndighetsledningar och för regeringen, och det gör det svårt att lära av varandra samt att samverka.

ESV har formulerat följande mål för uppdraget:

 de medverkande myndigheterna följer löpande och systematiskt upp sina it- kostnader och strategiska it-projekt med hög risk

 myndigheterna fortsätter att samarbeta och utbyta erfarenheter efter att uppdraget är genomfört

 regeringen får en god bild av de statliga myndigheternas it-användning och strategiska it-projekt.

ESV anser att det är rimligt utifrån kraven på intern styrning och kontroll i staten att myndighetsledningarna gentemot regeringen kan verifiera effektiviteten i

myndighetens it-verksamhet och redovisa, bedöma och motivera sin resurs- användning för it i förhållande till andra verksamheter. Det handlar om att ha kunskap om och perspektiv på den nytta som it bidrar med i förhållande till vad it kostar, i första hand i den egna verksamheten men även i jämförelse med andra verksamheter. För att detta ska vara möjligt krävs ett gemensamt språk.

ESV ser ett stort värde i att arbetet med it-kostnader och nyckeltal som initierades 2014 fortsätter och omfattar flera myndigheter. ESV ser också ett värde av en regelbunden prövning av effektiviteten i it-verksamheten. Det är samtidigt viktigt att arbetet görs inom ramen för förvaltningsmodellen och resultatstyrningen. Görs avsteg bör dessa göras tydligt och medvetet. Samtidigt är det centralt att ett fokus på staten som helhet balanseras mot de enskilda myndigheternas verksamhetsmål.

Det är ESV:s bedömning att en gemensam struktur och definitioner för it-kostnader samt nyckeltal är en viktig del i arbetet att effektivisera tillhandahållandet av it och bättre tillvarata it som möjliggörare i verksamhetsutveckling inom statsförvaltningen.

(11)

Det är viktigt att stärka fokus på hur it kan förbättra myndigheternas effektivitet och utveckla möjligheterna till gemensamt lärande.

För detta behöver myndigheterna referensdata för att kunna jämföra och bedöma sin egen verksamhet och för att få idéer till bättre lösningar. Ett viktigt syfte med nyckeltal är att ansvariga inom myndigheten får en referensram för dialog och bedömning av hur effektivt it tillhandahålls och hur väl den bidrar till myndighetens effektivitet samt uppföljning av myndighetens interna styrning och kontroll med fokus på it. Nyckeltalen kan även underlätta till exempel ställningstagande till utkontraktering av it och stödja utvecklingen av nyttorealisering.

2.3 Tidigare rapporter inom området

Flera tidigare rapporter har berört myndigheternas it-verksamhet. Rapporterna pekar på utvecklingsbehov inom flera områden, till exempel vad gäller ställningstagande om redovisning av it-kostnader, konkurrensutsättning, it-investeringar,

nyttorealisering och informationssäkerhet samt styrning och ledning.

2.3.1 It-kostnader

Statskontoret gjorde 1999 en förstudie¹ som syftade till att ge en första överblick av hur stora kostnaderna för informationstekniken egentligen var och att bygga upp en kunskapsbas som skulle kunna ligga till grund för jämförelser i framtiden.

It-kostnadernas andel av verksamhetskostnaderna var i genomsnitt 9 procent för de 24 myndigheterna. Statskontoret kunde konstatera att mindre myndigheter köpte tjänster i högre grad än de större myndigheterna som istället lade ner mer pengar på program- och systemutveckling. Vidare konstaterades att myndigheterna bokförde sina inköp olika, till exempel bokförde de större myndigheterna sina inköp som investeringar i större utsträckning än de mindre myndigheterna, som istället kostnadsförde dessa.

Cap Gemini Consulting genomförde hösten 2007 på uppdrag av Finansdepartementet en studie som redovisade en bild av hur it-kostnader kunde beskrivas. Deras modell har stora likheter med den modell som användes i Statskontorets studie som

genomfördes 1999. Med stöd i ett mycket begränsat urval myndigheter samt vissa skattningar och antaganden uppskattades de sammanlagda it-kostnaderna inom myndigheterna i den statliga förvaltningen till ca 25 miljarder kr. Cap Gemini angav att denna siffra innehåller en stor grad av osäkerhet, på grund av det begränsade urvalet, men att den ändå gav en indikation på total kostnadsvolym.

1 Statskontoret 1999:37 – It-kostnader i statsförvaltningen.

(12)

I E-delegationens förstudie Effektiv it-drift inom staten² från 2012 uppskattades den sammanlagda möjliga besparingspotentialen inom statens it-drift att ligga mellan 1 och 2 miljarder kronor, vilket beräknas motsvara 10-20 procent av den totala it-kostnaden i staten som uppskattades till ca 18,5 miljarder kronor.

ESV bedömde i rapporten It-kostnadsmodell (2014:50) att det inte gick att ta fram en statistiskt säkerställd siffra för den totala it-kostnaden i staten. En uppskattning pekade dock på att it-kostnaderna i staten återfanns i intervallet mellan 24 och 31 miljarder. Som andel av totala verksamhetskostnaden motsvarade detta ett

intervall mellan ca 10 och 13 procent. ESV tog tillsammans med de myndigheter som deltog fram sju nyckeltal. Utöver nyckeltalen identifierades också ett antal

strategiska val som bidrar till myndigheternas framgång i drift, förvaltning och utveckling av it.

Under våren 2015 identifierade ESV tillsammans med 63 myndigheter vilka strategiska it-projekt som bedrevs på myndigheterna.³ Myndigheterna gjorde i samband med detta en värdering av projekten, kring till exempel risker. ESV har fördjupat analysen av det insamlade materialet.En slutsats som går att dra av det inrapporterade materialet är att stora projekt, det vill säga projekt med större

budgetar, i större utsträckning riskerar att överskrida både budget och satta tidsramar än övriga projekt. En rekommendation med utgångspunkt i det insamlade materialet är att en myndighet om möjligt bör sträva efter att begränsa projektens storlek och att det kan finnas anledning att överväga, särskilt vad gäller utvecklingsprojekt, att dela upp projekt i mindre delar för att öka möjligheten att ha överblick och kontroll över dem. Detta borde minska sannolikheten för att projekt överskrider budget och/eller utsatta tidsramar.

2.3.2 Andra rapporter om styrning av it

I Riksrevisionens rapport It inom statsförvaltningen (Riksrevisionen 2011:4)

konstaterades att det fanns risk för att myndigheterna inte hanterade sin it på det mest effektiva sättet, då man inte övervägt vem som bäst tillhandahåller it. Flera

myndigheter kunde inte heller redovisa sina it-kostnader på total nivå och ännu fler hade svårigheter att redovisa sina it-kostnader uppdelade på olika delområden.

Riksrevisionen konstaterade vidare att myndigheterna inte alltid visste hur väl it bidrar till att uppfylla verksamhetens mål och hur den totala it-verksamheten inom myndigheten faktiskt ser ut och fungerar.

2 Effektiv it-drift i staten, förstudie version 1 (E-delegationen 2012-04-27).

3 Fördjupat it-kostnadsuppdrag, Delrapport 1: Kartläggning av strategiska it-projekt med hög risk (ESV 2015:48).

(13)

ESV lämnade under 2013 ett förslag till en förbättrad redovisning, styrning och kontroll av statens investeringar.⁴ ESV konstaterar i rapporten att det är svårt att få en helhetsbild över hur mycket staten avser att investera i samhällsinvesteringar och i verksamhetsinvesteringar och hur finansieringen ser ut. Det finns inte heller några generella bestämmelser för hur planerade investeringar ska följas upp.

ESV pekar i rapporten Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt⁵ på de uppenbara svårigheter som finns idag med att följa upp realiserade nyttor av gemensamma e-förvaltningsinitiativ, vilket aktualiserar behovet av en modell för nyttorealisering av gemensamma e-förvaltningsinitiativ i statsförvaltningen. En sådan modell skulle göra det enklare att välja, styra och utvärdera initiativen för att kunna erhålla största möjliga nytta för avsatta medel. Det skulle också underlätta för myndigheterna att över huvud taget följa upp nyttor av de gemensamma projekten.

Statskontoret anser i sin utvärdering av E-delegationen att genomslaget för e-förvaltningsfrågorna skulle gynnas av att de tydligt kopplas till övriga

förvaltningspolitiska frågor.⁶ Regeringen behöver säkerställa ett långsiktigt stöd i arbetet, i form av vägledning, uppföljning och förvaltningskapacitet. Statskontoret ser även risker med att e-förvaltningsfrågor reduceras till tekniska frågor och hålls isär från övrig ledning och styrning av statsförvaltningen. Statskontorets bedömning är att detta glapp finns både inom myndigheterna (mellan myndigheters högsta ledning och tjänstemän med ansvar för it-frågor), inom Regeringskansliet och mellan regeringen och myndigheterna. I det senare fallet innebär glappet att möjligheterna till ansvarsutkrävande försvåras av det, enligt Statskontorets bedömning,

förhållandevis svaga politiska intresset för frågorna. Den ökade digitaliseringen av förvaltningen, till exempel samordningen av system och information, skapar dessutom flera utmaningar utifrån ett säkerhets- och integritetsperspektiv.

OECD pekar i rapporten Value for money in Government Sweden 2013 på att kraven på nyttoanalyser i it-projekt måste stärkas och att samverkan, till exempel genom gemensam it-produktion och systemlösningar, måste stimuleras. Kravbilder från olika departement och politikområden måste harmoniseras för att möjliggöra gemensamma servicecenterlösningar som möjliggör koncentration av verksamhet och standardisering vilket skapar stordriftsfördelar.

I MSB:s rapport En bild av myndigheternas informationssäkerhetsarbete 2014 redovisar MSB resultatet av en kartläggning av hur statliga myndigheter tillämpar

4 En förbättrad redovisning, styrning och kontroll av statens investeringar”, ESV 2013:59.

5 Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt (ESV 2014:2).

6 Delegerad digitalisering (Statskontoret 2014:12).

(14)

MSB:s föreskrifter om statliga myndigheters informationssäkerhet (2009:10) och i övrigt arbetar med informationssäkerhet. 84 procent av de myndigheter som besvarat hela enkäten har en informationssäkerhetspolicy, av dessa kontrollerar 26 procent inte hur de följs. 45 procent av myndigheterna uppger att myndighetens ledning åtminstone i stor utsträckning löpande håller sig informerade om arbetet med

informationssäkerhet. Drygt 40 procent av myndigheterna som besvarat hela enkäten har ingen eller en mycket begränsad utvärdering av informationssäkerhetsarbetet på myndigheten.

Riksrevisionens bedömning i granskningen Informationssäkerheten i den civila statsförvaltningen (Riksrevisionen 2014:23) är att det finns omfattande brister i regeringens och myndigheternas arbete med informationssäkerhet. Granskningen visar att arbetet med informationssäkerheten inte är ändamålsenligt sett till de hot och risker som finns. Regeringen har inte någon samlad lägesbild över hoten mot den civila statsförvaltningen, i vilken omfattning och mot vilka hoten realiseras samt vilka skyddsåtgärder myndigheterna vidtar. Detsamma gäller för regeringens stöd- och tillsynsmyndigheter.

2.4 Utvecklingen av it-kostnader i staten över tiden

ESV har definierat att it-kostnader är de kostnader som kan härledas till it-funktioner, och de begränsas inte nödvändigtvis till it-organisationen. Kostnaderna består av kostnader inklusive avskrivningar (för materiella och immateriella it-investeringar) för drift, förvaltning och utveckling av it-system och utrustning. Definitionen omfattar alla it-kostnader oavsett hur de finansieras.

Till definitionen av it-kostnader har exempel tagits fram inom områdena hårdvara, mjukvara, datatrafik/kommunikation, personal, lokal och tjänster. Se vidare i ESV 2014:50, bilaga 1.

Det som inkluderas i definitionen av it är omfattande då it är en allt mer integrerad del i myndigheternas verksamhet. Detta medför att gränsdragningar måste göras. Ett exempel på gränsdragning kan vara mätutrustning i kärnverksamheten. En

mätutrustning där en person avläser mätresultaten och sedan matar in dessa i it-systemet är inte att anse som it-utrustning. Sker istället informationsöverföringen automatiskt mellan mätutrustningen och it-systemet är mätutrustningen att anse som it-utrustning. Ett annat exempel är att all utrustning med en IP-adress är att anse som it.

Det finns inte idag någon möjlighet att samlat följa it-kostnaderna i staten. Däremot kan delar av it-kostnaderna följas genom de statliga redovisningskoderna – S-koder.

På S-koden S5362 Datatjänster, utgifter, utomstatliga rapporteras alla utgifter för

(15)

anlitande av datacentral samt utgifter för datakonsulter som inte är statliga myndigheter. Här rapporteras också avgifter för att använda datorprogram samt service- och underhållsavtal för datorer. På S-koden S5365 tele, utgifter, utomstatliga rapporteras utgifter för telenätet, som till exempel abonnemangsavgifter och

dataöverföring via modem. På S-koden S5412 förs utgifter för inomstatliga datatjänster.

Diagram 1. Datatjänster 1999-2014 för staten totalt, miljoner kronor

Kostnaderna för datatjänster har nästan fördubblats under tio år, från ca fyra miljarder 2004 till nästan åtta miljarder 2014.

Diagram 2. Köpta datatjänster som andel av total verksamhetskostnad 0

1 000 2 000 3 000 4 000 5 000 6 000 7 000 8 000 9 000 10 000

1999 2002 2005 2008 2011 2014

Utomstatligt Inomstatligt

0,00%

0,50%

1,00%

1,50%

2,00%

2,50%

3,00%

3,50%

1999 2002 2005 2008 2011 2014

(16)

Köpta it-tjänster i staten som andel av verksamhetens kostnader har fördubblats sedan sekelskiftet. Från en nivå kring 1,5 procent till en nivå mellan 2,5 och tre procent.

2.5 Genomförande

Arbetet har genomförts tillsammans med de i uppdraget utpekade myndigheterna samt ytterligare ett antal myndigheter som har uttryckt ett önskemål om att få delta i arbetet.

Totalt har nio seminarier genomförts i tre parallella spår. Drygt 60 myndigheter har medverkat. Arbetet har bedrivits i nära samverkan med dessa myndigheter genom seminarierna. ESV lade agendan för varje seminarium men projektet genomfördes i huvudsak i form av aktivt arbete från de deltagande myndigheterna. ESV har

presenterat och gått igenom de framtagna definitionerna för it-kostnad, nyckeltal och mognadsmätningen. Myndigheterna har sedan beräknat it-kostnader och de

framtagna nyckeltalen (enligt de gemensamt fastställda definitionerna) på hemmaplan och rapporterat in resultatet till ESV. Myndigheterna har sedan

tillsammans kvalitetssäkrat sina uppgifter på de senare seminarierna. Myndigheterna har också getts möjlighet att jämföra sina it-kostnader och nyckeltal med varandra.

Myndigheterna har därutöver svarat på ett antal frågor kopplade till de olika nyckeltalen och mognadsmätningen. Tillsammans med de flesta av de 22 myndigheter som deltog i arbetet 2014 har ett antal nya nyckeltal definierats och beräknats och en mognadsmätning för informationssäkerhet tagits fram. ESV har genomfört en mängd beräkningar och kontroller på det insamlade materialet.

Vidare har projektet haft en extern referensgrupp. Referensgruppen har träffats regelbundet under arbetets gång och varit ett viktigt stöd till ESV:s projektgrupp.

ESV har också haft stöd av en extern it-konsult i projektarbetet. Kammarkollegiet har bidragit i arbetet med tjänster. MSB har bidragit i arbetet informationssäkerhet och incidenter. Den slutliga utformningen är dock ESV:s. Avstämning har också skett löpande under arbetets gång med dels uppdragsgivaren/Regeringskansliet och med projektets styrgrupp. ESV har tagit fram rapporten och de deltagande myndigheterna har haft möjlighet att lämna synpunkter på den.

De myndigheter som deltog i arbetet är i huvudsak sådana som omfattas av internrevisionsförordningen. Dessa myndigheter har generellt en omfattande och/eller komplex verksamhet.

I redovisning i rapporten är myndigheterna grupperade i tre grupper. De

myndigheterna som deltog i E-delegationens arbete är en grupp (12 myndigheter),

(17)

Lärosäten (15) och Övriga myndigheter (34). Deltagande myndigheter framgår i avsnittet referensgrupper. ESV har valt att avidentifiera materialet i rapporten.

Kvalitetssäkring av beräkningar har skett hos myndigheterna själva och genom seminarierna. Samtidigt består arbetet att beräkna nyckeltal på denna nivå av många vägval som varje myndighet gjort. ESV har endast kunna uppmärksamma uppenbara felaktigheter och ställa frågor kring uppgifter som kraftigt skiljer sig från mängden.

(18)

3 Mognadsmätning

Enligt uppdraget ska ESV inhämta information om myndigheternas strategiska val från de deltagande myndigheterna i enlighet med den modell som ESV tog fram under 2014. Mätningen har kompletterats med en ytterligare dimension - informationssäkerhet. Mätningen av informationssäkerhet har gjorts av ca 20 myndigheter.

Denna mognadsmätning/strategiska val har fokus på intern styrning och kontroll av it-verksamheten och de möjligheter it skapar. It är ett område som i omfattning och betydelse vuxit kraftigt. Vikten av en god intern styrning och kontroll blir därmed allt mer väsentlig. En myndighet som inte kan svara tillfredsställande på mognads- modellens frågor bör fråga sig om myndigheten har en tillfredsställande intern styrning och kontroll och bör också vidta åtgärder för att säkerställa den.

Mognadsmätningar kan användas till ett flertal syften. De kan användas internt i respektive myndighet för att identifiera förbättringsområden och för att följa dessa över tid, och säkerställa att de ger önskat resultat. De kan även användas för

jämförelser mellan myndigheter samt för att bedöma den totala mognaden i en sektor eller i staten, för att på så sätt sätta fokus på utvecklingsområden/satsningsområden.

Den genomförda mognadsmätningen bygger på självskattningar utifrån en definierad skala. De är därför till sin natur subjektiva bedömningar. En direkt jämförelse mellan två myndigheter är inte relevant utan en djupare diskussion kring innebörden av självskattningen och de förutsättningar respektive myndighets verksamhet skapar.

Men de ger ett underlag för diskussion inom myndigheterna kring aktuell värdering i relation till övriga svarande. Inom de områden där en myndighet identifierat en låg mognadsgrad finns det goda förutsättningar att gå djupare med stöd av

kompletterande ramverk.

(19)

3.1 It-mognad - läget 2014 hos 60 myndigheter

ESV har stöttat de medverkande myndigheterna i arbetet att genomföra och kvalitetssäkra en bedömning av intern styrning och kontroll med fokus på it.

Mognadsmätningen har sju dimensioner:

 Strategi för it-försörjning

 Förvaltningsmodell

 Projektmodell

 Portföljstyrning

 Nyttohemtagning

 Kompetensförsörjningsstrategi

 Jämförelser av it-kostnader

3.1.1 Strategi för it-försörjning (sourcing)

Syftet med måttet är att kartlägga i vilken utsträckning myndigheterna har en strategi för sin it-försörjning. En strategi för it-försörjning pekar ut de överväganden som en myndighet ska göra i beslut om hur it ska tillhandahållas i myndigheten. Det kan vara styrande principer för vilken försörjningsform myndigheten anser lämplig för olika typer av it-tjänster, samt framtida målbilder för hur it-försörjningen ska ske.⁷ Detta är en väsentlig del av en myndighets it-strategi.

Riksrevisionen har konstaterat att det stora flertalet myndigheter inte kan anses ha gjort rimliga prövningar om den egna myndigheten eller någon annan aktör är bäst lämpad att producera den it organisationen har behov av.⁸

Tabell 1. Strategi för it-försörjning Lärosäten

E-delegations- myndigheter

Övriga

myndigheter Totalt Vi har inte en strategi för

it-försörjning. 4 (26 %) 3 (25 %) 2 (6 %) 9 (15 %)

Vi har en strategi för vår it-försörjning men den är i behov

av översyn eller uppdatering 5 (33 %) 3 (25 %) 15 (47 %) 23 (39 %) Vi har en aktuell och fungerande

strategi för vår it-försörjning 6 (40 %) 6 (50 %) 15 (47 %) 27 (46 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

Resultatet i enkäten visar att det fortfarande finns ett stort förbättringsutrymme.

Hälften av myndigheterna har inte en aktuell och fungerande strategi. Samtidigt är

7 Vägledning för effektiv it-försörjning, E-delegationen.

8 Riksrevisionen 2014: IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?

(20)

graden av utkontraktering av it 14 procent och kompetensförsörjning genom konsulter 21 procent.⁹

Att fatta rätt beslut kring resursförsörjning i en allt snabbare föränderlig värld är en komplex och fortgående process. Myndigheter måste ta hänsyn till verksamhetens krav, den egna kompetensen, geografi, leveransmodeller, pris och teknik. En myndighet behöver därför ha en strategi för sin it-försörjning (sourcing).

Samverkan som del i it-försörjningen

Myndigheter ska samverka. När en myndighet utvecklar sin it-försörjningsstrategi är samverkan ett viktigt alternativ till egen drift eller utkontraktering. ESV har frågat myndigheterna inom vilka områden samverkan kan bidra till effektivitet. Områden som lyfts fram av myndigheterna är:

 Samverkansdrift mellan liknande myndigheter såsom mellan

Försäkringskassan, Arbetsförmedlingen och Skatteverket, i dessa fall har det handlat om möjligheter med Iaas (Infrastructure as a service).

 säker kommunikation

 it-arkitektur, dataformat, öppna data och licenshantering

 it som service/tjänst via statliga it-servicecenters

 dela på kompetenser av specialistkaraktär där det inte finns många inom myndigheten

 gemensamma upphandlingar

3.1.2 Förvaltningsmodell för it

Verksamhet och it har ett gemensamt ansvar för myndighetens it-lösningar. En förvaltningsmodell tydliggör hur ansvaret ska fördelas mellan dem. En fungerande förvaltningsorganisation säkerställer att förvaltningsprocessen är under kontroll så att it-systemen effektivt stödjer den verksamhet de finns i.

En förvaltningsmodell ska stödja den interna styrningen och kontrollen.

Förvaltningsmodellen säkerställer att redan driftsatt stöd behåller avsedd

funktionalitet, och att stödet förändras i samband med förändringar i verksamhetens behov. Ett tydligt förvaltningsuppdrag säkrar att förvaltningen av it stödjer de mål och intentioner som finns bland annat i verksamhetsplaner. Det skapar ramar och roller för relationen mellan verksamhet och it i närtid och nära framtid.

9 Uppgifterna är hämtade från kapitel 4 i denna rapport.

(21)

Tabell 2. Förvaltningsmodell

Lärosäten

Övriga

myndigheter Totalt

Vi har ingen förvaltningsmodell 1 (7 %) - - 1 (2 %)

Vi har en förvaltningsmodell,

men använder den bara delvis 7 (47 %) 1 (8 %) 16 (50%) 24 (41 %)

Vi har förvaltningsmodell som

används fullt ut 7 (47 %) 11 (92 %) 16 (50 %) 34 (58 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

I stort sett alla myndigheterna har en förvaltningsmodell. Dock är det bara drygt hälften som använder en förvaltningsmodell fullt ut. Att inte ha en förvaltnings- modell som tydliggör ansvarsfördelningen mellan verksamhet respektive it innebär en risk.

Ett förslag som framkommit är att det borde vara obligatoriskt för myndigheter med en förvaltningsbudget över en viss summa att ha och tillämpa en förvaltningsmodell.

3.1.3 Projektmodell

En projektmodell ger en struktur, ett gemensamt språk och tydliga roller och processer. I verksamheter som lever under stort förändringstryck är en professionell projekthantering med stöd av en projektmodell viktig och en nödvändig förutsättning för att skapa en kultur som kan hantera kontinuerliga förändringar.

Tabell 3. Projektmodell

Lärosäten

Övriga

myndigheter Totalt Vi har ingen beslutad

projektmodell - 1 (8 %) 2 (6 %) 3 (5 %)

Vi har en projektmodell, men den

används bara delvis 10 (67 %) 2 (17 %) 9 (28 %) 21 (36 %)

Vi har en beslutad projektmodell

som används fullt ut 5 (33 %) 9 (75 %) 21 (66 %) 35 (59 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 )

I stort sett alla medverkande myndigheter har en projektmodell, men många använder bara modellen delvis. Det kan vara en signal om att många myndigheter behöver göra en insats för att bygga upp en struktur som bättre klarar av att hantera förändringar och utveckling. Mot bakgrund av att myndigheterna har samlat en strategisk projektportfölj om över 8 miljarder kronor är detta ett område som måste stärkas.

Ett förslag från en myndighet är att om en projektbudget övergår en viss summa ska projektet ledas av en projektledare som är certifierad.

(22)

3.1.4 Portföljstyrning

Portföljhantering ger ledningen ett beslutsunderlag för sina prioriteringar och en överblick över pågående projekt. Det blir till exempel lättare att identifiera vilka projekt som behöver initieras, behöver förstärkning, bör skjutas upp eller avbrytas.¹⁰ Med en begränsad budget blir även portföljstyrningen ett medel för att säkerställa att de projekt som bäst svarar mot strategiska mål och aktuell prioritering får rätt förutsättningar på bekostnad av mer perifera aktiviteter. En fungerande portfölj- styrning ska beakta såväl förvaltningsaktiviteter som utvecklingsaktiviteter.

Porföljstyrningen säkerställer styrningen av genomförandet av strategiska och taktiska utvecklingsinitiativ.

Tabell 4. Portföljstyrning

Lärosäten

Övriga

myndigheter Totalt Vi har ingen strukturerad

sammanställning och prioritering av

våra it-projekt 2 (13 %) 3 (25 %) 9 (28 %) 14 (24 %)

Vi strukturerar och prioriterar delvis

våra it-projekt 9 (60 %) 1 (8 %) 18 (56 %) 28 (47 %)

Vi har portföljstyrning som används

fullt ut 4 (27 %) 8 (67 %) 5 (16 %) 17 (29 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

En knapp tredjedel av myndigheterna har en portföljstyrning som används fullt ut.

Avsaknad av portföljstyrning kan innebära en risk att ledningen inte aktivt medverkat i prioriteringen av utvecklingsprojekt. Detta bekräftas också i arbetet med strategiska it-projekt där flera myndigheter med kort varsel inte kunde identifiera sina

strategiska projekt. Mot bakgrund av omfattningen av strategiska it-projekt kan de också anses anmärkningsvärt att bara drygt en fjärdedel har en modell som tillämpas fullt ut.

Konstaterar myndigheten att man inte har en strukturerad kontroll över och prioritering av it-projekt, vilket 14 myndigheter gör, kan myndighetens interna styrning och kontroll ifrågasättas.

3.1.5 It-kompetensförsörjningsplan

En väl fungerande it-kompetensförsörjningsplan ger översikt över den kompetens verksamheten har och tydliggör vilken kompetens som behövs i framtiden. Planen kan också innehålla planerade åtgärder för att fylla kompetensbehovet genom till

10 Se till exempel E-delegationens Introduktion till portföljstyrning – Rapport från E-delegationens nätverk i nyttorealisering (version 1).

(23)

exempel kompetensutveckling, nyrekrytering, avveckling eller konsulter. Den ger beredskap inför teknikskiften och utkontraktering, och är också central för att säkerställa en genomtänkt konsultanvändning.

Myndigheterna har 8 416 årsarbetskrafter inom it varav 1 753 utgörs av konsulter.

Tabell 5. It-kompetensförsörjningsplan Lärosäten

Övriga

myndigheter Totalt Vi har ingen kompetens-

försörjningsplan för it-kompetens 1 (7 %) 2 (17 %) 6 (19 %) 9 (15 %) Vi planerar delvis kompetens-

försörjning inom it, men inte fullt

ut 11 (73 %) 3 (25 %) 17 (53 %) 31 (52 %)

Vi har en kompetens-

försörjningsplan för it-kompetens

som efterlevs 3 (20 %) 7 (58 %) 9 (28 %) 19 (32 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

En tredjedel av myndigheterna har en kompetensförsörjningsplan för it-kompetens som efterlevs. Övriga saknar eller har ofullständig planering. Antalet inhyrda konsulter hos myndigheter i den senare kategorin uppgår till knappt 600 helårsarbetskrafter.

3.1.6 Modell för nyttohemtagning

En modell för nyttohemtagning ger tydligare fokus på nytta vid effektiviserings- och utvecklingsarbete. Ansvaret för de identifierade nyttorna bör inte ligga hos

it-verksamheten utan i den verksamhet som är mottagare av utvecklingsinsatsen.

Detta tydliggörs med en modell för nyttohemtagning. Den skapar den viktiga länken mellan utvecklingsarbetet och den framtida förvaltningen.

ESV anser att det inför projektstart är självklart att göra en kalkyl som även omfattar effekter av eller nyttan med projektet. Det är också självklart att man efter genomfört (it-) projekt säkerställer att den tilltänkta nyttan tas hem. En modell för nyttohemtagning som tillämpas konsekvent i alla projekt säkerställer att de effekter som projektet syftar till faktiskt fokuseras och realiseras.

(24)

Tabell 6. Modell för nyttohemtagning Lärosäten

Övriga

myndigheter Totalt Vi har ingen beslutad modell för

nyttohemtagning 11 (73 %) 4 (33 %) 18 (56 %) 33 (56 %)

Vi har en modell för nyttohemtagning, men den

används bara delvis 4 (27 %) 2 (17 %) 10 (31 %) 16 (27 %)

Vi har en beslutad modell för

nyttohemtagning som efterlevs - 6 (50 %) 4 (12 %) 10 (17 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

E-delegationen har tagit fram flera handledningar kring nyttorealisering och praktiska verktyg. Det är också en viktig del i bedömningen om en immateriell tillgång får aktiveras. Det ska då med hög grad av säkerhet visas att den immateriella tillgången kommer tillföra ekonomiska fördelar eller en ökad servicepotential för myndigheten i framtiden. Den investeringskalkyl (kostnads- och nyttokalkyl) som ska ligga till grund för den bedömningen måste vara tillförlitlig, rimlig och väl underbyggd. Att det ändå är så många myndigheter som inte har en beslutad modell för nyttorealisering är anmärkningsvärt. Nyttorealiseringsmodellen är också en viktig länk mellan verksamheten och it. Finns ingen modell för nyttohemtagning är det en stor risk att nyttor av utveckling inte realiseras fullt ut och att lärande uteblir.

ESV samlade in uppgifter om strategiska projekt hos de deltagande myndigheterna.¹¹ I sammanställningen av dessa syns tydligt konsekvensen av avsaknad av

nyttohemtagning: Av 204 inrapporterade projekt saknar 104 uttalat en beräkning av nytta, och 84 saknar en utpekat ansvarig för effekthemtagning. It-komponentens andel av aktuella total budget för de projekt som saknar beslut om nyttohemtagning/effekt är drygt 1,1 miljard. Den stora mängd projekt som saknar

nyttoberäkning visar på ett behov att stärka arbetet med nyttorealisering i staten och bekräftar det resultat som syns i mognadsmätningen.

En annan observation ESV gjort är att myndigheter uppfattar det som att

nyttoberäkningar inte förväntas/behövs när projekt initieras genom regeringsuppdrag.

Det är en observation ESV också gjorde i arbetet med rapporten Uppföljning av ekonomiska nyttor från e-förvaltningsprojekt (ESV 2014:2). ESV anser att myndigheter ska arbeta strukturerat med nyttohemtagning. Detta är ett tydligt förbättringsområde för den interna styrningen och kontrollen.

11 Fördjupat it-kostnadsuppdrag – Delrapport 1: Kartläggning av strategiska it-projekt med hög risk, ESV 2015:48.

(25)

3.1.7 Kostnadsjämförelser med andra myndigheter eller aktörer It är en viktig möjliggörare för verksamhetseffektivisering. I många fall har vi fört diskussioner med myndigheter som enbart vill fokusera på det perspektivet. Men hur it tillhandahålls måste också ses som en egen dimension att följa upp. Det finns alternativa sätt att tillhandahålla it som i sig inte har någon betydelse för verksamheten – men innebär olika kostnad. Totalt är det verksamhet om över 15,5 miljarder kronor hos de deltagande myndigheterna som omfattas. Har man inte gjort kostnadsjämförelser är det svårt att ta ställning till om tillhandahållandet är effektivt eller inte.

Ett grundläggande första steg för att optimera it-kostnaderna är att identifiera kostnaderna och jämföra kostnaderna med andra myndigheter eller organisationer.

Vid sådana jämförelser kan man upptäcka områden med förbättringspotential.

Tabell 7. Kostnadsjämförelser med andra myndigheter eller aktörer Lärosäten

Övriga

myndigheter Totalt Vi har inte beräknat och jämfört

it-kostnader 2 (13 %) 3 (25 %) 8 (25 %) 13 (22 %)

Vi har beräknat it-kostnader, men

inte jämfört 6 (40 %) 2 (17 %) 17 (53 %) 25 (42 %)

Vi har regelbundet beräknat och jämfört it-kostnader för

huvuddelen av vår it-verksamhet 7 (47 %) 7 (58 %) 7 (22 %) 21 (36 %)

Totalt antal 15 (100 %) 12 (100 %) 32 (100 %) 59 (100 %)

Flertalet myndigheter har helt eller delvis jämfört sina it-kostnader med andra aktörer. För de som inte tidigare gjort det har medverkan i detta projekt inneburit det första steget på den resan. Att så få myndigheter har jämfört sina kostnader pekar på ett viktigt utvecklingsområde, inte minst nu när det finns ett första ramverk att samlas kring i staten och 60 myndigheter att jämföra sig med.

3.1.8 Sammanfattning av mognadsmätningen för 2014

Den genomförda mognadsmätningen ger ett övergripande underlag för diskussion.

Då den baseras på en självskattning är det centralt att en jämförelse mellan

myndigheter kombineras med en initierad diskussion kring orsakerna till placeringen på mognadsskalan.

(26)

Diagram 3. Sammanställning av mognadsmätning

Myndigheterna som ingått i E-delegationens arbete har en högre mognad jämfört både med lärosätena och övriga myndigheter. E-delegationsmyndigheterna visar ett jämt resultat i de olika dimensionerna där man är mest utvecklad vad gäller

förvaltningsmodell och projektmodell. Utveckling återstår inom nyttorealisering, kostnadsjämförelser och it-försörjningsstrategi. Mönstret går igen hos lärosätena men på en generellt lägre nivå. Nyttorealisering måste fokuseras kraftfullt samtidigt som lärosätena arbetar bra med kostnadsjämförelser. Mest kvar att utveckla finns hos övriga myndigheter. Här finns också stor potential i att utveckla portföljstyrningen.

Det område som uppvisar lägst sammanlagt värde är modell för nyttohemtagning.

Flera myndigheter har initierat ett arbete, men bara ett fåtal genomför det fullt ut. En konsekvent uppföljning av nyttohemtagning skulle säkerställa att de effekter som projekten ska uppnå fokuseras och realiseras. Särskilt hos lärosätena finns ett stort utvecklingsarbete att göra. Myndigheterna som deltog i E-delegationens arbete har kommit ett steg längre men även där återstår en hel del arbete. En möjlig orsak till det är it har haft ett särskilt fokus hos dessa myndigheter både av ledning och av verksamhet genom deltagandet i E-delegationens arbete. Enligt ESV:s bedömning vore det värdefullt att öka fokus på it och digitalisering genom en ökad dialog inom myndigheterna men också mellan myndighet och regering.

0%

20%

40%

60%

80%

100%

Beslutad strategi för it- försörjning

Förvaltnings-modell för it

Projektmodell

Portföljstyrning It-kompetens-

försörjnings-plan Modell för nyttohem-

tagning

Kostnads-jämförelser med andra

Universitet/högskolor E-delegationsmynd Övriga myndigheter

(27)

3.1.9 Mognadsmåtten och ledningen

Myndigheterna fick svara på om respektive mognadsmått förtjänar uppmärksamhet i myndighetens ledningsgrupp och om kriterierna för bedömning av mognadsmåtten fungerade bra.

En majoritet av myndigheterna anser att måtten förtjänar ledningsgruppens

uppmärksamhet. Mest positiv är man till frågan om nyttohemtagning. Lägst prioritet har it-kompetensförsörjningsplan, där knappt hälften av myndigheterna tycker att frågan hör hemma i myndighetens ledning.

På den första frågan om kriterierna för bedömning av måtten är bra, svarar huvuddelen av myndigheterna ja. För de enskilda måtten ligger andelen ja-svar mellan 81 och 91 procent. Någon myndighet pekar på att det vore det bra med fler nivåer för kriterierna, och stärka fokus på i vilken mån myndigheterna också följer modellerna.

3.2 Informationssäkerhet – en viktig del av it-mognad och intern styrning och kontroll

En stor del av den information som skapas och lagras i samhället är både viktig och känslig. Det kan få allvarliga följder om informationen förloras, stjäls, manipuleras eller sprids till obehöriga. Om informationssäkerheten brister finns en risk att myndigheter och statliga bolag inte kan uppfylla sina skyldigheter, till exempel att betala ut ersättningar, hantera trafikledning av tåg eller förse samhället med elektricitet. Både enskilda och hela samhällsfunktioner kan drabbas.

Enligt MSB:s föreskrift om statliga myndigheters informationssäkerhet (MSBFS 2009:10) ska en myndighet upprätthålla säkerhet i sin informationshantering och som ett led i detta arbete tillämpa ett ledningssystem för informationssäkerhet. Detta innebär enligt föreskrifterna att myndigheterna ska

 ha en informationssäkerhetspolicy

 ha någon eller några som leder och samordnar informationssäkerhetsarbetet

 klassa sin information

 genomföra risk- och sårbarhetsanalyser och utifrån dessa hantera risker

 dokumentera granskningar och vidtagna säkerhetsåtgärder av större betydelse.

Föreskrifterna ställer även krav på att ledningen löpande informerar sig om arbetet med informationssäkerhet samt att ledningen minst en gång per år följer upp och utvärderar informationssäkerhetsarbetet på myndigheten.

Riksrevisionens bedömning i granskningen Informationssäkerheten i den civila

(28)

myndigheternas arbete med informationssäkerhet. Det finns inte heller någon samlad bild av vilka skyddsåtgärder myndigheterna vidtar.

Modellen ESV tog fram tillsammans med myndigheterna bidrar inte till en samlad bild av de skyddsåtgärder som myndigheterna vidtar. Modellen bygger på

myndighetens egen bedömning av informationssäkerheten med utgångspunkt i myndighetens verksamhet. Bedömningen kompletterades med en enkätfråga om vilka åtgärder som myndigheten borde vidta för att nå fullgod informationssäkerhet.

Syftet är att skapa en möjlighet för dialog mellan ledning, it och verksamhet kring myndighetens behov av informationssäkerhet och faktiska position.

Våra it-system är bärare av information. Vi behöver ha kontroll över den informationen och se till att informationen:

 alltid finns när vi behöver den (tillgänglighet)

 att vi kan lita på att den är korrekt och inte manipulerad eller förstörd (riktighet)

 endast behöriga personer kan ta del av den (konfidentialitet)

 det går att följa hur och när informationen har hanterats och kommunicerats (spårbarhet).

ESV definierade två nivåer av informationssäkerhet:

 frånvaro av informationssäkerhetsskultur

 fullt ut etablerad säkerhetskultur med relevant och effektiv tillämpning av ramverk.

Myndigheterna fick sedan bedöma sin position utifrån detta.

(29)

Diagram 4. Resultat av myndigheternas egenvärdering av informationssäkerhet

Resultatet visar på behov av utveckling hos myndigheterna. Informationssäkerhet är ett område som måste prioriteras. Resultatet är i linje med de observationer som Riksrevisionen och MSB tidigare gjort.

Myndigheterna fick ange åtgärder för att nå högre säkerhetskultur. Exempel på åtgärder är:

 utbilda och få förståelse på ledningsnivå för att sedan få genomslag i organisationen

 katastrofsäkring av vissa nyckelkonsulter

 arbetet med kontroller/uppföljning

 i stunden ett bra skydd men saknar systematiken

 all information är inte alltid klassificerad.

Det finns ett behov att utveckla denna mätning, förslagsvis tillsammans med MSB.

3.3 Förslag till utveckling från deltagande myndigheter

Den mognadsmätning som genomförts följer en enkel skala och är en självskattning.

Flera av de deltagande myndigheter har under arbetet efterfrågat en mer

standardiserad mognadsmätningsmetodik då det skulle öka jämförbarheten. Det finns ett antal metoder såsom exempelvis Cobit, P3M3 och CCMI, som kan användas och som redan används av en del av de medverkande myndigheterna.

Ett utvecklingsområde är att vidareutveckla den befintliga mognadsmätningen med tydligare fokus på efterlevnad. Att det exempelvis finns en etablerad projektmodell innebär inte per automatik att den efterlevs eller är effektiv.

0 0,5 1 1,5 2

0,0 innebär total frånvaro av säkerhetskultur. 2,0 innebär fullt ut etablerad säkerhetskultur med relevant och effektiv tillämpning av ramverk

(30)

Ytterligare ett föreslaget mått har att göra med digital mognad som den beskrivs av deltagande myndigheter under arbetet: Att it är en tätt integrerad del av

verksamheten och att samverkan sker på ett ändamålsenligt sätt. Ett sätt att mäta detta är genom interaktion mellan olika verksamhetsdelar och redovisa mognad i termer av vilka barriärer som finns mellan it och verksamhet.

Vidare föreslog en myndighet att en mognadsmätning med fokus på myndighetens tillhandahållande av it bör utvecklas. Fokus skulle vara hur väl myndigheten tillvaratar teknikutvecklingen för att tillhandahålla ett kostnadseffektivt och ändamålsenligt it-stöd inom olika komponenter eller tjänster.

3.4 Sammanfattning av iakttagelser avseende mognadsmätningen

ESV har med utgångspunkt i mognadsmätningen identifiera flera viktiga utvecklingsområden. ESV vill särskilt peka på följande områden:

Strategi för it-försörjning

Av de myndigheter som deltagit i arbetet saknar 15 procent av myndigheterna en strategi för it-försörjning och nästan 40 procent av myndigheterna behöver se över eller uppdatera sin strategi. E-delegationen konstaterar att ett antal olika utredningar och analyser pekar på att det finns en stor besparingspotential att ta hem genom att strukturerat överväga hur it-försörjningen ska ske. E-delegationen uppskattade besparingspotentialen inom statens it-drift till mellan en och två miljarder kronor per år. E-delegationen beslutade redan i oktober 2013 en vägledning för effektiv

it-försörjning. Att knappt hälften av myndigheterna har en aktuell och fungerande strategi för sin it-försörjning är inte tillräckligt, särskilt som en majoritet av dessa har en omfattande och/eller komplex verksamhet. ESV anser att en myndighet bör ha en aktuell och fungerande strategi för sin it-försörjning.

Portföljstyrning

En fungerande portföljstyrning är ett viktigt stöd för en organisation så att den kan nå sina strategiska mål. Den hjälper en organisation att välja de insatser som skapar rätt nytta för organisationen och att välja bort de som inte bidrar till att man når de beslutade målen. En fjärdedel av de deltagande myndigheterna saknar en sammanställning och prioritering av sina it-projekt. Endast en tredjedel har en portföljstyrning som används fullt ut. ESV anser det tveksamt om det är förenligt med en god intern styrning och kontroll.

(31)

Nyttorealisering

Om en myndighet har en modell för nyttohemtagning som inte följs finns en stor risk att nyttor av utveckling inte realiseras fullt ut. Endast 17 procent av de deltagande myndigheterna har en modell för nyttohemtagning som efterlevs. Detta är

anmärkningsvärt mot bakgrund av myndigheternas stora strategisk projektportfölj som under 2015 omfattar 2,5 miljarder kronor. ESV anser att myndigheterna ska arbeta strukturerat med nyttohemtagning. Detta är ett tydligt förbättringsområde för effektiviseringen i statsförvaltningen.

(32)

4 Nyckeltal

Nyckeltal ger möjlighet att följa verksamhetens utveckling och synliggör vilken effekt olika förändringar får. När samma nyckeltal används under flera år eller i flera verksamheter kan dessa jämföras och skapa möjlighet till lärande för hur

verksamheten kan förbättras och effektiviseras.

Nyckeltal kan användas både internt och externt när verksamheten följs upp och utvecklingen jämförs över tid. De kan användas i styrning, planering och budgetering av verksamheten för att ge en tydlig bild av vart myndigheten är på väg. Den tydliga strukturen och definitionerna som nyckeltalen för med sig skapar också

förutsättningar för att utveckla dialogen mellan it-verksamheten, kärnverksamheten och ledningen. Till exempel Riksrevisionen anser att tydliga och enhetliga riktlinjer för hur it-kostnader beräknas underlättar och främjar myndigheternas arbete med it- försörjning.¹²

Att etablera nyckeltal och jämförelser är en process. Erfarenheten visar att en verksamhet behöver flera år på sig för att nå mognad och etablera dessa verktyg som en integrerad del av verksamhetens styrning och uppföljning.

Nyckeltalen måste dock hanteras ansvarsfullt, och tolkningen och analysen kräver ofta djup verksamhetskunskap och måste utgå från verksamhetens förutsättningar.

De nyckeltal som tagits fram i detta arbete har som syfte att fungera som underlag för dialog i och mellan myndigheter. De har inte en sådan precision att de kan ligga till grund för en extern kontroll eller revision.

En förutsättning för att arbetet med it-kostnader och nyckeltal ska skapa nytta är att myndigheterna lämnar korrekt information. Det har inte kommit till ESV:s

kännedom att någon myndighet medvetet lämnat felaktiga uppgifter. Däremot har framkommit att någon enskild myndighet lyft frågan om det faktiskt varit nödvändigt att lämna korrekta uppgifter. ESV vill peka på vikten av att myndigheterna gör sitt bästa för att beräkna nyckeltalen korrekt.

4.1 It-kostnader – läget 2014 hos 60 myndigheter

I årets mätning har drygt 60 myndigheter medverkat. De har beräknat sju nyckeltal utifrån det ekonomiska utfallet 2014. ESV utvecklade nyckeltalen tillsammans med det 20-tal myndigheter som deltog i arbetet 2014. De är valda utifrån att de är enkla

12 IT inom statsförvaltningen, RiR 2011:4, sid 63.

(33)

att ta fram samtidigt som de levererar nytta – alltså största möjliga nytta till minsta möjliga arbetsinsats.

De valda nyckeltalen är:

 it-kostnader som andel av total verksamhetskostnad

 it-investeringar som andel av total verksamhetskostnad

 it-kostnader per användare

 inhyrd it-personal som andel av total it-personal

 kostnad för utkontrakterad it-verksamhet som andel av it-kostnad

 kostnad per it-arbetsplats

 kostnad för telefoni per användare.

Vi redovisar genomgående nyckeltalens högsta och lägsta värde, medianvärde och medelvärde för varje grupp. Spridningen mellan myndigheterna visas i två diagram för respektive nyckeltal. Det första diagrammet är sorterat i tre grupper, e-

delegationsmyndigheter, lärosäten och övriga myndigheter. I det andra diagrammet är myndigheterna sorterade efter verksamhetens totala kostnad. Vi redovisar även i vilken utsträckning myndigheterna anser att nyckeltalen är relevanta för

myndighetens ledning att känna till.

ESV har jämfört det agregerade utfallet av de olika nyckeltalen från 2013 respektive 2014. Det finns stora förändringar mellan åren, och ESV har frågat myndigheterna om dessa skillnader. Detta redovisas i samband med flera av nyckeltalen. Vid jämförelser över tid måste hänsyn tas till om förändringen finns i täljare eller

nämnare. För till exempel nyckeltalet Förändringar i it-kostnaden som andel av total verksamhetskostnad kan en minskning i nyckeltalet vara resultatet av att

verksamhetskostnaden ökat kraftigt på grund av externa faktorer samtidigt som it- verksamheten inte mäktat med att tillhandahålla stöd. Det behöver alltså inte vara resultatet av ett medvetet arbete att effektivisera tillhandahållandet av it.

Definitioner av det som ingår nyckeltalens täljare och nämnare finns beskrivet i bilaga 2 samt i ESV:s rapport It-kostnader – ett första steg mot ett gemensamt språk (2014:50).

4.1.1 It-kostnad som andel av verksamhetens kostnader It-kostnader som andel av myndighetens totala verksamhetskostnader är ett strategiskt och taktiskt nyckeltal. Det visar vilken roll it har i en sammantagen kostnadsprofil. Det är beroende av uppdrag, verksamhetens art och automatiserings- grad, och myndighetens förmåga att tillhandahålla it effektivt. Jämför vi hur den totala verksamhetskostnaden förändrats med hur it-kostnaderna förändrats får vi en