26.1 Övergripande granskning av IT-driften

(1)

SOLLENTUNA K O M M U N Revisorerna

SOLLENTUNA KOMMUN Kommunstyrelsen

2013 -11- ö 8

Dnr: .20/3/066710 ij6Z5"

2013-IO-29

Kommunstyrelsen

Ö v e r g r i p a n d e granskning av IT-driften

På uppdrag av de förtroendevalda revisorerna i Sollentuna kommun har PwC genomfört en övergripande granskning av kommunens IT-drift. Syftet har varit att granska driftsä- kerheten i verksamhetskritiska system för att bedöma hur väl denna möter förväntat behov. Granskningen skulle besvara följande övergripande revisionsfrågor:

Är driftsäkerheten i verksamhetskritiska system tillräckligt hög iförhållande till vad som är överenskommet mellan kommunstyrelsens IT-avdelning och nämndernas verk- samheter?

Arbetar kommunstyrelsens IT-avdelning aktivt för att upprätthålla en hög driftsäker- het?

Den generella bedömningen är att driftsäkerheten är god och håller en nivå som uppfyll- ler normalt ställda krav. Vår bedömning grundar sig på det arbete som gjorts efter ge- nomförd outsourcing i form av bland annat kvalitetshöj ande åtgärder och ökat fokus på ett formaliserat samarbete med verksamheten.

Vår samlade bedömning är också att IT-avdelningen har ett tydligt fokus på driftsäker- heten och arbetar aktivt med att upprätthålla en hög sådan.

Vi har dock noterat att det finns områden där det finns en förbättringspotential som be- höver omhändertas. Vi vill lyfta fram följande områden:

• Representanter för verksamheterna upplever att de inte har fullständig insyn i återrapporteringsprocessen avseende IT-drift. Detta gäller exempelvis vid felsituationer och det finns en viss osäkerhet kring vilka kvalitetsmått som gäller och på vilket sätt dessa följs upp och återkopplas.

• Samarbetet mellan verksamheterna, IT-avdelningen och Tieto behöver tydliggö- ras för att förbättra transparensen avseende befintliga processer och rutiner för drift av IT. Även samarbetet med andra leverantörer och speciellt avseende sup- portärenden i de fall Tieto har ett ansvar för uppföljning behöver förbättras och tydliggöras.

1

(2)

• Representanter för verksamheterna efterfrågar en tydligare transparens avseende IT-kostnader. Detta gäller den totala kostnadsbilden, men även för drift och för- valtning.

• Arbetet med processer och rutiner för IT-leveransen, till exempel införande av förvaltningsmodellen PM3 är något som vi ser som positivt och det är av stor vila att arbetet slutförs och kommuniceras med verksamheten på ett tydligt sätt.

Rapporten översändes härmed till kommunstyrelsen med begäran om styrelsens kom- mentarer på ovan noterade områden där vi noterat att det finns en förbättringspotential.

Svar önskas senast den 20 december 2013.

För kommunens revisorer

RblfHagstedt Ordförande

2

(3)

www.pwc.

Övergripande

granskning IT-driften

Sollentuna Kommun

Oktober 2013

(4)

Bakgrund och syfte

Inledning

Under augusti-september 2013 har PwC på uppdrag av de förtroendevalda revisorerna i Sollentuna kommun genomfört en översiktlig granskning av IT-driften i form av en förstudie.

Syfte

Uppdraget har varit att granska driftsäkerheten i verksamhetskritiska system för att bedöma hur väl denna möter förväntat behov.

Följande två, övergripande revisionsfrågor skulle besvaras:

• Är driftsäkerheten i verksamhetskritiska system tillräckligt hög i förhållande till vad som är överenskommet mellan kommunstyrelsens IT -avdelning och nämndernas verksamheter?

• Arbetar kommunstyrelsens IT-avdelning aktivt för att upprätthålla en hög driftsäkerhet?

Övergripande granskning IT-driften PwC

Oktober 2013 2

(5)

Genomförande

Granskningen har omfattat de centrala IT-systemen inom kommunen.

Granskningen har utförts genom sammanlagt 10 intervjuer med nyckelpersoner inom kommunen samt inläsning och genomgång av dokumentation och annat relevant material. Nyckelpersonsurvalet består av strategiska personer och operativ personal från verksamheterna och IT-avdelningen.

Intervjuerna och granskningen har utgått från nio kontrollmål som ligger till grund för att kunna besvara de två övergripande revisionsfrågorna.

Oktober 2013 3

(6)

Genomförande, forts

Namn Titel

Annika Lindholm Socialkontoret, Systemförvaltare, Procapita Alexandra Nilsson Vård- och omsorgskontoret, Förvaltningsledare

Staffan Vikström Kommunledningskontoret, Systemförvaltare, Public 360

Håkan Wikman Kommunledningskontoret, Systemägare, ekonomi och beslutsstöd Anders Nilfjord Barn- och ungdomskontoret, Systemägare, Extenx, IST, Asynja Karin Foss Kommunledningskontoret, Förvaltningsledare arbetsplats och

service desk

Britta Sandblom Kommunledningskontoret, IT-chef Martin Jonsson Kommunledningskontoret, IT-arkitekt

Dan Malmberg Jansson Kommunledningskontoret, Förvaltningsledare IT Skola och Omsorg Andreas Husman Kommunledningskontoret, Förvaltningsledare kommunikation och

säkerhet

Oktober 2013 4

(7)

Sammarifattning, svar på revisionsfr ägorna

PwC:s bedömning efter denna övergripande granskning av IT-driften i kommunen är att den i stort stödjer verksamheternas behov. Nedan redovisas vår sammanfattande bedömning utifrån de ställda revisionsfrågorna:

Revisionsfråga i

Är driftsäkerheten i verksamhetskritiska system tillräckligt hög i förhållande till vad som är överenskommet mellan kommunstyrelsens IT-avdelning och

nämndemas verksamheter?

Vår generella bedömning är att driftsäkerheten är god och håller en nivå som uppfyller normalt ställda krav. Vår bedömning grundar sig på det arbete som gjorts efter genomförd outsourcing i form av bland annat kvalitetshöj ande åtgärder och ökad fokus på ett formaliserat samarbete med verksamheterna.

Revisionsfråga 2

Arbetar kommunstyrelsens IT-avdelning aktivt för att upprätthålla en hög driftsäkerhet?

Vår samlade bedömning är att IT-avdelningen har ett tydligt fokus på driftsäkerheten och arbetar aktivt med att upprätthålla en hög driftsäkerhet.

Det finns förbättringspotential inom ett flertal områden, vilket sammanfattas på nästa sida och belyses under respektive kontrollmål i denna rapport.

Oktober 2013 5

(8)

Sammanfattning

Följande områden sammanfattar de mest främsta områdena, där vi ser en förbättringspotential och som vi bedömer behöver åtgärdas.

• Verksamheterna upplever att de inte har fullständig insyn i återrapporteringsprocessen avseende IT-drift, till exempel vid felsituationer och känner därmed en viss osäkerhet kring vilka

kvalitetsmått som gäller och på vilket sätt dessa följs upp och återkopplas.

Kommunen behöver tydliggöra samarbetet mellan verksamheterna, IT-avdelningen och Tieto för att förbättra transparensen avseende befintliga processer och rutiner för drift av IT. Även

samarbetet med andra leverantörer och speciellt avseende supportärenden i de fall Tieto har ett ansvar för uppföljning behöver förbättras och tydliggöras.

• Verksamheterna efterfrågar en tydligare transparens avseende IT-kostnader. Detta gäller den totala kostnadsbilden, men även för drift och förvaltning.

• Arbetet med processer och rutiner för IT-leveransen, till exempel införande av förvaltingsmodellen PM3 är något som vi ser positivt och det är av stor vikt att arbetet slutförs och kommuniceras med verksamheterna på ett tydligt sätt.

PwC rekommenderar att kommunen påbörjar arbetet med att hantera de observationer som

framkommit av denna rapport. PwC anser att ovanstående punkter bör vara prioriterade i detta arbete.

Oktober 2013 6

(9)

' Kontrollmål

Följ ande kontrollmål ligger till grund för granskningen.

Övergripande granskning IT-driften Oktober 2013

PwC 7

(10)

Kontrollmål i

Det finns tydliga överenskommelser mellan IT -avdelningen och verksamheterna som anger vilka kvalitetsmått som gäller för IT-systemen, t ex i form av en tjänstekatalog.

Det finns ingen etablerad tjänstekatalog för IT-leveransen till verksamheterna. I dagsläget hanteras överenskommelser gällande kvalitet i dialog mellan IT-enheten och verksamheterna.

Löpande uppföljning av leverans och kvalitetsuppföljning sker med i första hand genom IT- förvaltningsledaren och respektive förvaltning.

Överenskommelser avseende kvalitetsmått finns, framförallt för de kritiska systemen. Däremot är hanteringen av kvalitetsuppföljning inte formaliserad, överenskommen och dokumenterad på ett

strukturerat sätt.

För vissa mindre kritiska system saknas överenskomna servicenivåer mellan verksamheterna och IT-avdelningen.

I avtalet mellan kommunen och Tieto finns överenskomna kvalitetsmått och en reglerad process för uppföljning av dessa. I dagsläget upplever verksamheterna att de inte får fullständig insyn i denna process och känner därmed en viss osäkerhet kring vilka kvalitetsmått som gäller och på vilket sätt dessa följs upp och återkopplas.

Oktober 2013 8

(11)

Kontrollmål 2

Det finns etablerade metoder för att följa upp driftsäkerheten och rapportera driftstörningar.

• Mellan IT-avdelningen och Tieto finns överenskommen process för uppföljning av driftsäkerheten och hur den månadsvisa återrapportingen sker. Verksamheterna upplever dock att de inte har full insyn i detta.

• IT-avdelningens kontaktpersoner för respektive förvaltning har i uppdrag att rapportera

driftsäkerhet på regelbundna möten, vilket också sker. Vi noterar dock att detta sker på lite olika sätt och att både verksamheterna och IT skulle vinna på en tydligare process för detta. I samband med intervjuer med verksamhetsrepresentanter har det framkommit att uppföljning och

återrapportering av driftstörningar inte alltid fungerat. Det finns exempel på när

återrapporteringen av incidenter inte har nått verksamheterna, eller upplevs komma för sent.

• Pågående driftstörningar rapporteras via intranätet, vilket upplevs fungera väl av verksamheterna.

• Inom ramen för kommunens förvaltningsmodell (PM3) finns etablerade processer och rutiner för denna typ av rapportering. Modellen är på väg att införas i större skala i kommunen, vilket kommer att innebära en tydligare, mer stringent och konsekvent uppföljning.

Oktober 2013 9

(12)

Kontrollmål 3

Leverantörer och outsourcad verksamhet inom IT hanteras ändamålsenligt.

• I samband med intervjuer har det framkommit att både verksamheterna och IT-avdelningen upplever att leverantörer och outsourcad verksamhet hanteras ändamålsenligt.

En generell kommentar är att IT-leveransen fungerar överlag väl. IT-supportorganisationen upplevs fungera bra och har utvecklats till det bättre över tid. Det finns dock förbättringsområden som behöver arbetas på, till exempel avseende återrapportering av ärenden.

Delar av verksamheterna upplever att IT-kostnaderna inte är tydligt kommunicerade. Detta

innebär bland annat att IT antas vara "dyrt". Det förefaller saknas en tydlig transparens avseende IT-kostnaderna.

Oktober 2013 10

(13)

Kontrollmål 4

IT-verksamheterna har en ändamålsenlig organisation for att säkerställa driftsstabilitet.

IT-avdelningen har i samband med outsourcingen förändrats till att bli en beställarorganisation för IT-leveransen, vilket innebär en mindre personalstyrka.

IT-avdelningen arbetar med att införa ett processorienterat arbetssätt för att tydligare kunna stödja verksamheterna med lämpligt IT-stöd. Till exempel finns utsedda IT-kontaktpersoner för respektive förvaltning som ansvarar för rapportering av IT-leveransen och för att få fånga upp verksamheternas återkoppling. Vidare finns ett utvecklingsforum för att diskutera

verksamheternas framtida behov och hur detta kan stödjas med hjälp av IT.

Verksamheterna upplever att IT-avdelningen är på väg åt rätt håll men att det finns förbättringspotential för att samarbetet ska fungera effektivt. Samtidigt konstateras att verksamheterna har ett behov av att arbeta mer effektivt för att bli en bättre beställare av IT.

Oktober 2013 11

(14)

Kontrollmål 5

Kompetens och erfarenhet hos personalen är tillräcklig i förhållande till jämförbara verksamheter.

• Verksamheterna upplever att den generella kompetensen inom IT-avdelningen är hög.

De personer i verksamheterna som innehar roller med anknytning till IT, till exempel systemförvaltare eller specialister har generellt sett god kompetens. Det finns dock enstaka exempel där medarbetare upplevs sakna tillräcklig kompetens för sin roll.

Det finns dokumenterade rollbeskrivningar för de flesta roller som har med IT att göra, framför allt inom IT-avdelningen men även till stor del inom verksamheterna.

• I förhållande till likvärdiga kommuners verksamheter bedömer vi att kompetensen är likvärdig eller bättre, framförallt inom IT-avdelningen.

Oktober 2013 12

(15)

Kontrollmål 6

Det finns styrande eller strategiska dokumenterade dokument inom IT- verksamheterna.

På generell nivå finns det en komplett uppsättning av styrande eller strategiska dokument. Vissa dokument är framtagna men ännu inte beslutade.

Publicerade dokument finns på intranätet och upplevs lätta att hitta av verksamheterna.

Oktober 2013 13

(16)

Kontrollmål 7

Det finns etablerade processer och rutiner som främjar ett proaktivt arbetsätt inom IT- verksamheterna.

• Det finns etablerade processer och rutiner för IT-avdelningen som har tagits fram efter outsourcingen av IT-driften 2010. Det pågår ett löpande arbete med att förfina och förbättra arbetssättet.

• Verksamheterna upplever att IT-avdelningen arbetar processorienterat men upplever samtidigt en viss otydlighet hur det fungerar i praktiken.

Oktober 2013 14

(17)

Kontrollmål 8

Det sker kontinuerliga avstämningar mellan IT -avdelningen och verksamheterna för att säkerställa förväntansnivå avseende drift och förvaltning av verksamhetskritiska system är nåd.

• Verksamheterna har kontinuerliga avstämningar med IT-avdelningens kontaktpersoner där frågor avseende drift och förvaltning berörs. Det finns dock förvaltningar där processen inte är fullt

etablerad.

• Inom ramen för kommunens förvaltningsmodell (PM3) finns etablerade processer och rutiner för denna typ av rapportering. Vi noterar att förvaltningsmodellen inte är fullt ut etablerad, men att detta arbete pågår.

• Det är inte fullt tydligt hur ansvarsfördelningen ser ut mellan IT-avdelningen och verksamheterna i de fall andra leverantörer som inte IT -avdelningen ansvarar för är inblandade.

Oktober 2013 15

(18)

Kontrollmål 9

Utvecklingen av hårdvara och programuppdateringar bevakas på ett tillfredställande och systematiskt sätt.

• På generell nivå finns processer för att bevaka utveckling inom IT-området. Detta gäller både inom IT-avdelningen och i verksamheterna. Vi noterar att detta förefaller fungera tillfredställande.

• Avseende uppdateringar och förändringar av hård- och mjukvara i driftsmiljön upplever

verksamheterna att de inte har tydlig insikt i detta, speciellt avseende Tietos processer och rutiner.

IT-avdelningen anser sig dock ha fullständig kontroll på hur detta hanteras av Tieto.

• Verksamheterna upplever att det finns en otydlighet, bland annat avseende programuppdateringar, det som framför allt lyfts fram är att det upplevs saknas en tydlig process för förändringshantering.

Oktober 2013 16

(19)

Rekommendationer och bedömningar

Övergripande granskning IT-driften Oktober 2013

PwC 17

(20)

Rekommendationer och bedömningar

Utifrån ovanstående kontrollmål kan vi konstatera att IT-driften i stort uppfyller verksamheternas behov. Det finns dock ett antal områden med förbättringspotential varav nedanstående punkter avser de främsta områdena.

Under förutsättning att införandet av förvaltningsmodellen PM3 sker effektivt kommer det att skapa möjligheter för ett tydligare ansvar för respektive roll i både verksamheterna och IT-

avdelningen. Detta kommer därmed att leda till en ökad effektivitet och transparens avseende IT- leverans, IT-kostnader och styrning av IT.

Det finns ett tydligt behov inom kommunen att tydliggöra samarbetet mellan verksamheterna, IT- avdelningen och Tieto för att uppnå en större transparens och förståelse för den löpande IT-

leveransen.

Samarbetet med andra leverantörer, speciellt avseende supportärenden där Tieto har ett ansvar för uppföljning, behöver förbättras och tydliggöras.

Det finns ett stort behov att öka tydlighet och transparens avseende kostnader för IT. Ett bra sätt att uppnå detta är att etablera en tjänstekatalog.

Oktober 2013 18

(21)

Avslutning

Kontakt:

Anders Gustafson

E-post: anders.gustafson@se.pwc.com Tel: 010-212 49 41

Jonas Skoglund

E-post: jonas.skoglund@se.pwc.com Tel: 010-212 45 26

refers to PricewaterhouseCoopers i Sverige AB which is a member firm of

PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.