E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

T I L L R I K S D A G E NB E S L U T A D : 2 0 1 9 - 1 0 - 0 1 D N R : 3 . 1 . 1 - 2 0 1 8 - 0 7 7 8 R I R 2 0 1 9 : 2 8

Härmed överlämnas enligt 9 § lagen (2002:1022) om revision av statlig verksamhet m.m. följande granskningsrapport:

Föråldrade it-system

– hinder för en effektiv digitalisering

Riksrevisionen har granskat förekomsten av föråldrade it-system hos ett drygt

60-tal större myndigheter. Fokus för granskningen har varit om myndigheterna och regeringen har gjort tillräckligt för att hantera de problem som föråldrade it-system innebär. Resultatet av granskningen redovisas i denna granskningsrapport. Den innehåller slutsatser och rekommendationer som avser regeringen och de myndigheter som ingår i granskningen.

Riksrevisor Stefan Lundgren har beslutat i detta ärende. Revisionsdirektör Marcus Pettersson har varit föredragande. Enhetschef Robin Travis har medverkat i den slutliga handläggningen.

Stefan Lundgren

Marcus Pettersson

För kännedom:

Regeringskansliet; Arbetsmarknadsdepartementet, Finansdepartementet, Infrastrukturdepartementet, Justitiedepartementet, Kulturdepartementet, Miljö- och energidepartementet, Näringsdepartementet, Socialdepartementet, Utbildningsdepartementet, Utrikesdepartementet.

Arbetsförmedlingen, Boverket, Svenska ESF Rådet , Finansinspektionen, Fortifikationsverket, Kammarkollegiet, Kronofogden, Lantmäteriet, Länsstyrelsen

i Västra Götaland, Riksgäldskontoret, Skatteverket, Statens fastighetsverk, Statens servicecenter, Statens tjänstepensionsverk, Statistiska centralbyrån, Tullverket, Luftfartsverket, Sjöfartsverket, Statens energimyndighet, Trafikverket, Transportstyrelsen, Domstolsverket, Kriminalvården, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Åklagarmyndigheten, Kulturrådet, Havs- och vattenmyndigheten, Naturvårdsverket, Bolagsverket, Skogsstyrelsen, Statens Jordbruksverk, Sveriges geologiska undersökning, Sveriges Lantbruksuniversitet, Tillväxtverket, Försäkringskassan, Inspektionen för vård och

R I K S R E V I S I O N E N

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

omsorg, Läkemedelsverket, Pensionsmyndigheten, Socialstyrelsen, Statens Institutionsstyrelse, Centrala studiestödsnämnden , Göteborgs universitet, Karlstads universitet, Karolinska Institutet, Kungliga Tekniska Högskolan, Linköpings universitet, Linnéuniversitetet, Luleå tekniska universitet, Lunds universitet, Malmö universitet, eHälsomyndigheten, Mittuniversitetet, Myndigheten för yrkeshögskolan, Skolverket, Specialpedagogiska skolmyndigheten, Stockholms universitet, Umeå universitet, Universitets- och högskolerådet, Uppsala universitet, Örebro universitet, Styrelsen för internationellt utvecklingssamarbete, Svenska kraftnät.

R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Innehåll

Sammanfattning och rekommendationer 5
1 Inledning 10
1.1 Motiv till granskning 10
1.2 Syfte och frågeställningar 11
1.3 Bedömningsgrunder 11
1.4 Metod och genomförande 13
2 Förekomsten av föråldrade it-system 22
2.1 Effektivitetsperspektivet på föråldrade it-system 22
2.2 Antal verksamhetskritiska system 23
2.3 Förekomsten av föråldrade it-system 24
2.4 Förekomsten av problem i myndigheternas it-system 24
2.5 Illustrativa exempel från fallstudierna 27
2.6 Sammanfattande iakttagelser 28
3 Styrningen av myndigheternas it-miljö 29
3.1 Myndigheternas uppfattning om it-stödets roll 29
3.2 Processer för att löpande utvärdera it-stödets ändamålsenlighet 36
3.3 Medvetna och uttryckliga ställningstaganden kring it-systemen 43
3.4 Konsekvenser av föråldrade it-system 46
3.5 Övergripande mönster i myndigheternas svar 47
4 Regeringens styrning 52
4.1 Övergripande åtgärder för digitalisering 52
4.2 Regeringens kunskap om problembilden och eventuellt vidtagna åtgärder 53
5 Slutsatser och rekommendationer 56
5.1 Förekomsten av föråldrade it-system 56
5.2 Myndigheternas åtgärder 57
5.3 Regeringens åtgärder 60
5.4 Riksrevisionens rekommendationer 63
Referenslista 65
Bilaga 1. Granskade myndigheter 67

Elektroniska bilagor

Till rapporten finns bilagor att ladda ned från Riksrevisionens webbplats. Bilagorna kan begäras ut från ärendets akt genom registraturen.

Bilaga 2. Enkätfrågor till myndigheterna Bilaga 3. Frågeformulär till Regeringskansliet

R I K S R E V I S I O N E N

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Sammanfattning och rekommendationer

Riksrevisionen har granskat förekomsten av föråldrade it-system hos ett drygt

60-tal större myndigheter. Fokus för granskningen har varit om myndigheterna och regeringen gör tillräckligt för att hantera de problem som föråldrade it-system innebär. Den övergripande slutsatsen är att flertalet myndigheter inte gör det. Riksrevisionen menar att problemet är så allvarligt och utbrett att det innebär ett hinder för en fortsatt effektiv digitalisering av statsförvaltningen.

Granskningen visar att regeringen på ett övergripande plan har arbetat med digitalisering som indirekt kan ha positiva effekter på problemen med föråldrade it-system. Regeringen har dock bristande kunskap om förekomsten och konsekvenserna av problemen med föråldrade it-system. Det saknas också åtgärder som mer direkt riktas mot föråldrade it-system. Riksrevisionen rekommenderar myndigheterna att utveckla sitt sätt att arbeta med föråldrade it-system. Riksrevisionen rekommenderar regeringen att lämna ett tydligare stöd i det arbetet. Nedan utvecklas dessa slutsatser.

Bakgrund och motiv

Det är mycket vanligt att organisationer som inte är nyetablerade har en it-miljö som utvecklats över tid och till stor del består av så kallade ärvda system som anskaffats med skilda syften och under olika epoker. Många av dessa är mer eller mindre oproblematiska; de levererar god nytta i verksamheten samt kan driftas, underhållas och vidareutvecklas på ett relativt effektivt och säkert sätt. Andra ärvda system är föråldrade eller utdaterade och riskerar att bli ett betydande effektivitetsproblem. Det beror på att ett föråldrat system kräver relativt sett mer resurser, vilket i sin tur påverkar en fortsatt effektiv utveckling av it-miljön. Utvecklingen på it-området är som bekant snabb och det krävs att resurser kan avsättas till innovation. Förekomsten av föråldrade system kan också påverka informationssäkerheten.

Ambitionerna är höga på området – riksdagens mål är att Sverige ska vara bäst

i världen på att använda digitaliseringens möjligheter. Regeringen har också pekat på vikten av tydligare statligt ledarskap i förändring och fortlöpande analys av digital mognad och behov av åtgärder. Regeringen har även uttryckt att ”Informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.

Den betydelse digitalisering har givits av såväl riksdag som regering i kombination med att föråldrade it-system kan utgöra ett stort hinder för en effektiv digitalisering har varit bärande skäl för Riksrevisionen att

genomföra granskningen.

R I K S R E V I S I O N E N 5

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Syfte och metod

Syftet med granskningen har varit att undersöka förekomsten av föråldrade it-system i statsförvaltningen samt om myndigheterna och regeringen har vidtagit tillräckliga åtgärder för att dessa system inte ska utgöra ett hinder för en effektiv digitalisering. De frågeställningar som besvaras i granskningen är om:

myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

Granskningen genomfördes i tre steg. Först gjordes fallstudier hos Pensionsmyndigheten och Skatteverket. Dessa användes sedan för att konstruera en enkät som skickades ut till totalt 64 myndigheter. Avslutningsvis skickade Riksrevisionen ett frågeformulär till Regeringskansliet för att undersöka vilken kunskap regeringen har kring föråldrade it-system och vilka åtgärder regeringen har vidtagit.

Granskningens resultat

Förekomsten av föråldrade it-system

Föråldrade verksamhetskritiska it-system innebär en stor risk för effektivitetsproblem i det att man tvingas använda proportionerligt sett mer resurser bara för att vidmakthålla systemet. Det finns därför goda skäl att anta att föråldrade it-system innebär en hög risk för bristande hushållning med statens medel. Det innebär även en undanträngning vad gäller myndighetens innovationsförmåga i form av att kunna utveckla nya it-system. Föråldrade it-system innebär dock inte bara en risk för den enskilda myndigheten utan problem hos en myndighet kan innebär stora konsekvenser för möjligheterna att bedriva verksamhet hos en annan myndighet eller privat aktör.

Granskningen visar att det förekommer föråldrade it-system hos ett stort antal myndigheter. Hos många myndigheter är dessutom ett eller flera verksamhetskritiska it-system föråldrade. Vad Riksrevisionen vet är detta

ny kunskap och ingen har således haft en bild av problemets utbredning i statsförvaltningen.

It-kostnaderna för de myndigheter som ingår i Riksrevisionens granskning är ungefär 19 miljarder. De effektivitetsbrister som kan kopplas till föråldrade it-system är därmed väsentliga ur ett budgetperspektiv. Föråldrade it-system innebär även en risk ur ett informationssäkerhetsperspektiv. Riksrevisionen menar att föråldrade it-system på en aggregerad nivå innebär ett väsentligt

6 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

effektivitetsproblem för staten och ett hinder för en fortsatt effektiv och säker digitalisering.

Myndigheterna har inte rätt arbetssätt

Riksrevisionens slutsats är att en stor del av de undersökta myndigheterna inte arbetar på rätt sätt med utveckling och förvaltning av it-stödet. De använder inte de verktyg för verksamhetsutveckling som finns för att skapa sig en uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse på bästa sätt. Därmed saknar en stor andel av de granskade myndigheterna en övergripande beskrivning av hur strategier, verksamhetsprocesser och system hänger ihop. Det innebär i sin tur man får svårigheter att analysera och förstå hur förändringar påverkar verksamhetens mål och det blir därmed också svårare att definiera

ett framtida önskvärt läge.

Myndigheterna saknar processer för att löpande utvärdera it-stödets ändamålsenlighet

Av de 64 myndigheter som besvarat enkäten säger 69 procent att man inte har någon beslutad modell för att hantera och fatta beslut om it-system från det att systemet utvecklas till dess att det avvecklas, vad som brukar kallas livscykelhantering. Det tyder enligt Riksrevisionen på att livscykelhantering inte genomförs på ett strukturerat och metodiskt sätt. De perspektiv som är rimliga att löpande ta hänsyn till och göra bedömningar mot i sin livscykelhantering saknas för ungefär 40 till 60 procent av myndigheterna. Myndigheterna är bäst på det rent tekniska, vilket skulle kunna tyda på att livscykelhanteringen främst görs utifrån it-avdelningens perspektiv, snarare än utifrån en analys av myndighetens övergripande behov. Det finns också brister i arbetet med riskanalyser. En så stor grupp som en dryg tredjedel av myndigheterna genomför endast återkommande riskanalyser för något eller några verksamhetskritiska system eller inga alls. Lika många kan heller inte bryta ner it-kostnader på den detaljerade nivå som behövs för att fatta bra beslut. Utan återkommande riskanalyser och detaljerade uppgifter om kostnaderna är det svårt att göra meningsfulla utvärderingar av it-stödets ändamålsenlighet.

Myndigheterna tar inte medvetet ställning till sina it-system

Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något eller några verksamhetskritiska system. Av de myndigheter som tagit fram sådana planer bedömer 60 procent att planerna inte är tillfredsställande annat än för några enstaka system eller inga alls. Avsaknaden av livscykelplaner och andra planeringsunderlag hos många myndigheter kombinerat med brister i den livscykelhantering som faktiskt görs, innebär att myndigheterna överlag inte kan anses ha gjort medvetna och uttryckliga ställningstaganden kring sina it-system.

R I K S R E V I S I O N E N 7

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Regeringen har inte vidtagit tillräckliga åtgärder

Riksrevisionens bedömning är att de ansvariga departementen och därmed även regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna av föråldrade it-system. Regeringskansliet uppger sig ha kunskap om förekomsten av föråldrade it-system i 15 av de 31 myndigheter som Riksrevisionen har identifierat som en riskgrupp. Bortsett från 4 fall har Regeringskansliet lämnat så övergripande svar att det inte framgår att de vet vilka konsekvenserna är.

Företrädare för Regeringskansliet har påtalat att regeringen inte utövar styrning av myndigheterna på ett sätt som innebär att de talar om för myndigheterna hur de ska utforma sin it-miljö eller vilka it-system de ska välja. Regeringen har i stället fokuserat på att styra övergripande frågor som villkor för informationsutbyte som i förlängningen kan ha styrande effekt även på enskilda it-system. Detta styrningsperspektiv ligger i linje med den svenska förvaltningsmodellen som bygger på att myndigheterna i stor utsträckning självständigt får utforma sin verksamhet. Det direkta ansvaret för att se till att it-system inte blir föråldrade eller att se till att undanröja eller reducera de problem som kommer med föråldrade it-system är enligt samma logik varje enskild myndighets ansvar.

Riksrevisionen konstaterar samtidigt att närmare hälften av myndigheterna uppger att problem i enskilda it-system eller it-miljön i stort har ganska eller mycket stor påverkan på det fortsatta digitaliseringsarbetet. Granskningen visar att föråldrade it-system är ett utbrett problem som har stor påverkan, inte bara på den enskilda myndigheten utan problemet får även förvaltningsövergripande konsekvenser. Slutsatsen blir därför att myndigheterna hittills inte själva har klarat av att effektivt hantera problematiken kring föråldrade it-system.

Utifrån de iakttagelser Riksrevisionen har gjort verkar regeringen ha bristande kunskap om den risk som föråldrade it-system utgör för statsförvaltningen som helhet. Utifrån förekomsten av föråldrade it-system hos de granskade myndigheterna, regeringens bristande kunskap och riksdagens och regeringens ambitiösa mål för digitaliseringen anser Riksrevisionen att regeringen bör säkerställa att man har kunskap kring hur myndigheterna hanterar problematiken kring föråldrade it-system. Utan sådan kunskap försvåras regeringens möjligheter att styra även på en övergripande nivå. I ett andra steg bör regeringen överväga att tillhandahålla gemensamma verktyg eller modeller för att underlätta myndigheternas arbete. Ett gemensamt arbetssätt, inklusive gemensamma sätt att utvärdera och återrapportera, skulle också ge regeringen ökade möjligheter att jämföra myndigheterna med varandra och därmed göra det möjligt för regeringen att försäkra sig om att digitaliseringen av statsförvaltningen är effektiv och avgöra hur regeringsstyrningen ska utformas.

Riksrevisionens bedömning är därmed att regeringen inte kan anses ha vidtagit tillräckliga åtgärder för att säkerställa att problemen reducerats eller undanröjts.

8 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Rekommendationer

Riksrevisionen riktar rekommendationer till de granskade myndigheterna och regeringen.

Rekommendationer riktade till myndigheterna

Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse.

Myndigheterna bör ha en process för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse.

Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna ställningstaganden kring sin it-miljö och behovet av eventuella åtgärder.

Rekommendationer riktade till regeringen

Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen kring föråldrade it-system och den fortsatta digitaliseringen.

Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade till föråldrade it-system i statsförvaltningen för att säkerställa löpande kunskap om myndigheternas förutsättningar och situation.

R I K S R E V I S I O N E N 9

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

1 Inledning

1.1Motiv till granskning

Alla myndigheter och andra organisationer som inte är direkt nyetablerade har sannolikt en it-miljö som utvecklats över tid och till stor del består av så kallade ärvda system, det vill säga system som anskaffats med skilda syften och under olika epoker. Många av dessa är fortfarande mer eller mindre oproblematiska; de levererar god nytta i verksamheten samt kan driftas, underhållas och vidareutvecklas på ett relativt effektivt och säkert sätt, med mera. Andra ärvda system är av olika skäl föråldrade eller utdaterade. Förekomsten av föråldrade system1 kan potentiellt påverka både digitaliseringstakten och informationssäkerheten. I en rapport från Riksrevisionens motsvarighet

i Storbritannien, National Audit Office (NAO), konstaterades till exempel att myndigheterna i Storbritannien till stora delar är beroende av föråldrade it-system och att dessa är förenade med risker avseende både informationssäkerhet och effektivitet.2 NAO konstaterar i sin rapport att de föråldrade it-systemen gör myndigheterna mindre flexibla, mer sårbara för cyberhot och beroende av dyra långtidskontrakt med it-företag. Riksrevisionens motsvarighet i USA, United States Government Accountability Office (GAO), har på liknande sätt konstaterat att samma sak gäller för USA:s federala myndigheter.3

Riksrevisionen har utgått ifrån att NAO:s och GAO:s slutsatser sannolikt är relevanta även för svensk förvaltning och svenska myndigheter, samtidigt som det enligt vad Riksrevisionen erfar inte pågår något arbete som berör frågan om föråldrade it-system kopplat till digitalisering och informationssäkerhet. Riksrevisionen har inte heller kunnat finna någon samlad kunskap om omfattning, orsaker till och konsekvenser av föråldrade it-system

i statsförvaltningen.

Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.4 Samtidigt har regeringen pekat på vikten av tydligare statligt ledarskap i förändring och fortlöpande analys av digital

1Med begreppet föråldrat system avser Riksrevisionen ett verksamhetskritiskt system/applikation som inte uppfyller organisationens krav på vad systemet skulle behöva prestera i nuläget

i verksamheten. Definitionen innebär inte att systemet nödvändigtvis behöver vara gammalt utan tar mer sikte på att it-systemet inte uppfyller verksamhetens behov. Att systemet är gammalt kan vara en förklaring till det men det kan även bero på att systemet är specialanpassat/egenutvecklat, att det saknas support eller liknande.

2National Audit Office, Managing the risk of legacy ICT to public service delivery, National Audit Office, HC 539 Session 2013-14 11, september 2013, s. 5.

3United States Goverment Accountability Office: Information technology — Federal Agencies Need to Address aging Legacy Systems, GAO-16-468 May 2016, s. 11.

4Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87.

10 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

mognad och behov av åtgärder.5 Regeringen har även uttryckt att ”informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.6

Den betydelse digitalisering har givits av såväl riksdag som regering sett i ljuset av att föråldrade it-system verkar utgöra ett stort hinder har varit ett bärande skäl för Riksrevisionen att genomföra granskningen.

1.2Syfte och frågeställningar

Syftet med granskningen är att undersöka förekomsten av föråldrade it-system i statsförvaltningen samt om myndigheterna och regeringen har vidtagit tillräckliga åtgärder för att dessa system inte ska utgöra ett hinder för arbetet med att uppnå en effektiv digitalisering. Granskningens frågeställningar/- revisionsfrågor är:

Har myndigheterna vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

Har regeringen vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

Med att vidta tillräckliga åtgärder avser Riksrevisionen åtgärder som syftar

till att förebygga att systemen blir föråldrade såväl som åtgärder som vidtas för att reducera eller undanröja problem kopplade till att it-systemen har

blivit föråldrade.

1.3Bedömningsgrunder

Den övergripande utgångspunkten för granskningen är riksdagens och regeringens mål för digitalisering och för informations- och cybersäkerhet. Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.7 Regeringen har uttryckt att ”informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.8

Riksrevisionens bedömning utifrån målen är att myndigheterna ska digitalisera i så stor utsträckning som det är möjligt i de fall man bedömer att nyttan

5För ett hållbart digitaliserat Sverige — en digitaliseringsstrategi. Skr 2017/18:47, s. 31.

6Nationell strategi för samhällets informations- och cybersäkerhet, skr. 2016/17:213.

7Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87.

8Skr. 2016/17:213, s. 6. Har behandlats av riksdagen i bet. 2017/18:FÖU4.

R I K S R E V I S I O N E N 11

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

överstiger kostnaderna, samt att de system som finns i verksamheten ska vara tillfredsställande ur ett informationssäkerhetsperspektiv.

Det finns varken vad gäller digitalisering eller informationssäkerhet tydligt specificerade nivåer eller kvantifierade mål kring i vilken exakt omfattning myndigheter ska digitalisera eller vilken exakt nivå informationssäkerheten ska vara på. Tillgängliga resurser är inte oändliga och i slutändan så är det upp till respektive myndighet att göra en riskavvägning. Myndighetens ledning har dock ett krav på sig att verksamheten bedrivs effektivt samt att myndigheten hushållar väl med statens medel.9 Riksrevisionen delar därför e-delegationens syn på hur verksamhetsutveckling ska bedrivas:

En utgångspunkt är att allt utvecklingsarbete ska vara väl förankrat i verksamhetsmål och underbyggt med goda beslutsunderlag. Offentliga organisationer behöver arbeta med målanalyser och koppla förslag till förändringsinsatser tydligare till verksamhetens mål i flera nivåer. Utveckling av verksamheten måste vara en naturlig del av chefers ansvar för verksamheten och grunda sig på en målbild för hur man önskar sig att verksamheten ska se ut. Stora krav finns därför också på att veta hur verksamheten ser ut i nuläget, det vill säga att mäta rätt saker för att ”ta tempen” på verksamheten. Det är i gapet mellan nuläge och målbild som förändringsbehovet kan definieras.10

Riksrevisionens granskning har därför i huvudsak varit inriktad mot att undersöka om myndigheterna har tagit ställning till hur föråldrade it-system ska hanteras för att uppnå en informationssäkrad digitalisering, snarare än att pröva huruvida myndigheternas beslut i enskilda fall är bra eller dåliga. För att myndigheterna ska kunna anses ha tagit ställning på ett tillfredsställande sätt krävs enligt Riksrevisionen att man har vidtagit ett antal åtgärder. Dessa åtgärder utgör således bedömningsnormerna i granskningen och är att myndigheterna:

1.har en uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse

2.har processer för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse

3.utifrån resultatet av ett arbete enligt de två ovan nämnda punkterna gör medvetna och uttryckliga ställningstaganden kring sina it-system

4.lyfter de problem man inte själv kan hantera till regeringen.

Vad avser regeringen utgår granskningen från att regeringen genom sin styrning ska förverkliga riksdagens mål. Statlig förvaltning handlar enligt regeringen om

93 § myndighetsförordning (2007:515).

10E-delegationen, Vägledning i nyttorealisering, version 2.0, E-delegationen, 2014

12 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

att ge statliga myndigheter verktyg och förutsättningar för att kunna genomföra de beslut som regeringen och riksdagen har fattat.11 För att kunna uppnå detta krävs enligt Riksrevisionen att regeringen:

har kunskap om omfattning och konsekvenser gällande förekomsten av föråldrade system i förvaltningen

har kunskap om vilka orsaker till problemen som myndigheterna kan hantera själva och vilka som kräver insatser från regeringen

utifrån problembilden säkerställer att myndigheterna faktiskt vidtar de åtgärder de själva råder över, eller vidtar åtgärder för att undanröja de hinder som myndigheterna inte själva kan hantera.

1.4Metod och genomförande

Granskningen har genomförts i tre olika moment. Granskningens inledande moment har bestått av fallstudier hos Pensionsmyndigheten och Skatteverket.

I nästa moment har erfarenheterna från fallstudierna använts för att konstruera en enkät som har skickats ut till total 64 myndigheter. Som ett tredje och sista moment har Riksrevisionen sedan skickat ett frågeformulär till Regeringskansliet för att undersöka vilken kunskap regeringen har kring föråldrade it-system och vilka åtgärder regeringen har vidtagit. Riksrevisionen har även genomfört intervjuer med företrädare för Regeringskansliet för att komplettera bilden kring vilka åtgärder regeringen har vidtagit på området.

Utöver dessa tre moment har Riksrevisionen även skickat ett antal frågor till de 64 myndigheter som har besvarat enkäten. Frågorna har handlat om huruvida myndigheterna har några föråldrade it-system eller om myndigheterna inom de fem senaste åren har bytt ut något sådant system. Riksrevisionen har även begärt att få ta del av samtliga 64 myndigheters strategiska dokument som beskriver den nu gällande lång- och kortsiktiga inriktningen av verksamheten (strategisk plan, verksamhetsplan eller motsvarande dokument), myndighetens it-strategi eller andra dokument på strategisk nivå som beskriver myndighetens it-utveckling samt digitaliseringsstrategi eller motsvarande om sådan finns. Utöver detta har Riksrevisionen även begärt in den grunddata i form av nyckeltal som Ekonomistyrningsverket (ESV) har samlat in inom ramen för sitt uppdrag rörande it-kostnader.12 Myndigheternas svar på enkäten har sedan jämförts med de uppgifter som ESV har samlat in avseende myndigheternas it-kostnader och myndigheternas digitala mognad för att åstadkomma ytterligare djup i analysen.

Granskningen har genomförts av en projektgrupp bestående av projektledaren Marcus Pettersson och projektmedarbetarna Sara Gullbrandsson och Linnea

11http://www.regeringen.se/regeringens-politik/statlig-forvaltning/. Hämtad 2018-01-31.

12It-kostnader är de kostnader som kan härledas till it-funktioner, och begränsas inte nödvändigtvis till it-organisationen. Kostnaderna består av kostnader inkl. avskrivningar (för materiella och immateriella it-investeringar) för drift, förvaltning och utveckling av it-system och utrustning.

R I K S R E V I S I O N E N 13

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Olander. Gustaf Juell-Skielse, docent i data-och systemvetenskap vid Stockholms universitet, har varit knuten till projektet och gett synpunkter på såväl

ett granskningsupplägg som ett utkast till granskningsrapporten.

Företrädare för Regeringskansliet (Arbetsmarknadsdepartementet, Finansdepartementet, Infrastrukturdepartementet, Justitiedepartementet, Kulturdepartementet, Miljö- och energidepartementet, Näringsdepartementet, Socialdepartementet, Utbildningsdepartementet och Utrikesdepartementet), Pensionsmyndigheten och Skatteverket har fått tillfälle att faktagranska och

i övrigt lämna synpunkter på ett utkast till granskningsrapporten.

1.4.1 Fallstudier

Syftet med fallstudierna har varit att få en fördjupad kunskap om hur myndigheter hanterar föråldrade it-system och att få en bild av möjliga tillvägagångssätt och konsekvenser av de val som myndigheterna gör. Både Pensionsmyndigheten och Skatteverket har en hög it-mognad och goda förutsättningar att prioritera

en informationssäkrad digitalisering, samtidigt som de har en omfattande och komplex it-miljö. Valet av fallstudiemyndigheter har således gjorts för att finna reella problem kopplade till föråldrade it-system såväl som för att finna goda exempel på hur problematiken med föråldrade it-system kan hanteras och

en mångfald i valda lösningar. Genomförandet av fallstudier har syftat till att fördjupa kunskaperna kring problematiken med föråldrade it-system och hur den kan hanteras för att sedan kunna ta fram en enkät. Ett ytterligare syfte med fallstudierna har varit att kunna använda iakttagelserna för att förklara och förstå de svar som övriga myndigheter har lämnat i enkätsvaren på ett bättre sätt.

Utgångspunkten var från början att försöka göra en liknande undersökning som den brittiska revisionsmyndigheten13 och belysa tre tillvägagångssätt att hantera föråldrade it-system (en fallstudie per tillvägagångssätt)14 I det inledande skedet av granskningen valdes därför tre myndigheter ut för fallstudier. Dessa tre var Pensionsmyndigheten, Skatteverket och Polismyndigheten. Polismyndigheten lämnade dock enligt Riksrevisionens uppfattning inte det stöd som efterfrågades och Riksrevisionen valde därför att avbryta fallstudien. Riksrevisionen bedömer att bortfallet av Polismyndigheten som fallstudie har inneburit ett bortfall av viktiga iakttagelser, med tanke på att Polismyndigheten har bytt ut föråldrade it-system såväl som att myndigheten fortfarande har kvarvarande föråldrade it-system

i verksamheten. Riksrevisionen bedömer dock samtidigt att de iakttagelser som

13National Audit Office: Managing the risk of legacy ICT to public service delivery, HC 539 session 2013-14 11 september 2013.

14De tre tillvägagångssätten var att inte vidta några åtgärder, att förbättra och underhålla (man kan exempelvis bygga nya system eller applikationer runt om legacy-systemet för att uppnå eftersträvad funktionalitet) samt att byta ut/ersätta systemet.

14 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

gjorts hos Pensionsmyndigheten och Skatteverket har varit tillräckliga för att uppfylla fallstudiernas syfte.

En granskning av hanteringen av föråldrade it-system behöver ta hänsyn till den omkringliggande kontexten, det vill säga myndighetens totala it-miljö, för att man ska kunna göra en rättvisande bedömning. Det innebär att granskningen har innefattat den övergripande styrningen och förvaltningen av myndighetens hela it-miljö.

I fallstudierna har förvaltningsplaner eller motsvarande dokumentation varit en central del av granskningen.15 Genomgången har även omfattat systemdokumentation, riskanalyser, beslut, underlag för nyttorealisering, strategiska planer och budgetunderlag med mera. Vi har även intervjuat nyckelpersoner på olika nivåer för att få deras uppfattning om hanteringen av it-systemen. Intervjuer har gjorts med representanter för:

operativ nivå i form av exempelvis objektspecialister eller it-specialister

beslutsnivå i form av förvaltningsledare

budgetnivå i form av objektägare

säkerhetsfunktionerna i form av it-säkerhetsansvarig och informationssäkerhetsansvarig.

Minnesanteckningar från intervjuerna har jämförts sinsemellan utifrån vem som har varit respondent såväl som med den dokumentation som har begärts från myndigheten för att undersöka eventuell samstämmighet eller eventuella diskrepanser.

Fallstudierna har haft för avsikt att belysa såväl faktiska beslut som ”icke-beslut”, det vill säga att myndigheterna inte formellt sett har fattat beslut kring att behålla eller byta sitt föråldrade system men att systemet trots det fortsätter användas

i verksamheten. ”Icke-besluten” har undersökts genom att kontrollera om det finns underlag/riskanalyser som tar hänsyn till fördelar och nackdelar med nuvarande system i förhållande till alternativa tillvägagångssätt.

De fördjupade kvalitativa fallstudier har bidragit med viktiga insikter till den kvantitativa undersökningen i form av enkät. Fallstudierna har även bidragit till ökad förståelse av de svar myndigheterna sedan har lämnat i enkäten.

15Pm3 är en modell för att organisera en styrbar och effektiv förvaltningsverksamhet. Utgångspunkten i pm3 är att styrning av verksamhetsprocesser och it-system bör ske gemensamt och man delar därför in verksamheten i olika förvaltningsobjekt. Ett förvaltningsobjekt består av både verksamhetskomponenter och it-komponenter. För varje förvaltningsobjekt upprättas normalt

en årlig förvaltningsplan som innehåller målen med förvaltningsverksamheten i förhållande till myndighetens övergripande mål, vilka åtgärder som behöver vidtas för att uppnå målen samt vilken budget som finns att tillgå. Efter verksamhetsåret följs planen upp och man fattar beslut om

en ny plan.

R I K S R E V I S I O N E N 15

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

1.4.1.1 Pensionsmyndigheten

Det it-system som Riksrevisionen i huvudsak har inriktat sin fallstudie mot är ett system som används för att administrera förmånen bostadstillägg. Pensionsmyndigheten har haft problem med förmånen bostadstillägg för pensionärer allt sedan myndighetens bildande. Problemen yttrar sig både genom att handläggningstiderna är långa och att andelen felutbetalningar är stor. För Pensionsmyndigheten handlar handläggningen till stor del om ett manuellt förfarande att lägga in och kontrollera inskickade uppgifter. Uppgifterna som sänds in av de sökande i pappersform måste till exempel läggas in manuellt

i systemet och mycket av de nödvändiga beräkningarna sker utanför det egentliga it-stödet i enklare Excelbaserade beräkningsverktyg för att sedan manuellt föras tillbaka till it-stödet. Ärendeframdriften och journalföringen är inte heller automatiserade utan görs manuellt av handläggare. Det medför risk för felbeslut och att ärenden blir fördröjda. It-stödet har inte heller mekanismer som underlättar för handläggare att se när det är nödvändigt att göra efterkontroller för att undvika felutbetalningar.

It-systemet (BOTP) som Pensionsmyndigheten använder för att handlägga förmånen bostadstillägg delas av myndigheten och Försäkringskassan, som hanterar andra gruppers bostadstillägg. Det är utvecklat av Försäkringskassan under 1990-talet och 2008 genomfördes en migrering från det ursprungliga Cobol-systemet16 till en modernare plattform. Försäkringskassans motiv till att göra en migrering utan att tillföra någon ny funktionalitet var att man ville undvika störningar i verksamheten.17 Det sättet migreringen genomfördes på har gjort det svårt att utveckla ny funktionalitet i BOTP till rimliga kostnader. I den omfattande analys av Pensionsmyndighetens systemstöd hos Försäkringskassan som gjordes 2012 bedömdes utvecklingsbehovet av BOTP som stort redan då med hänvisning till behov av automatisering och ny funktionalitet.18

Pensionsmyndigheten kan sägas ha arbetat aktivt med att försöka förbättra hanteringen av bostadstillägg sedan 2012. Effektiviteten och kvaliteten

i hanteringen av förmånen var dock fortsatt under acceptabel nivå och förbättringsåtgärder var fortsatt nödvändiga. Under 2013 gjordes en analys av it-stödet BOTP, som indikerade att informationsmodellen behövde ändras

i grunden men att det var både möjligt och rekommenderat att bygga vidare på befintligt system.19

16COBOL är ett programspråk som skapades 1959 och var på 1960-talet och 1970-talet det dominerande programspråket för affärssystem.

17Intervju med företrädare för Pensionsmyndigheten 2018-11-08.

18Pensionsmyndigheten och Försäkringskassan, Pensionsmyndighetens systemstöd hos Försäkringskassan, Pensionsmyndigheten, 2012, s. 67.

19Pensionsmyndigheten, BTY/P1, Ny hantering av bostadstillägg Verksamhetsanalysrapport, PID139365, Pensionsmyndigheten, 2014, s. 5.

16 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Efter ungefär två år av olika projekt kring hur det befintliga systemstödet och verksamhetsprocesserna skulle kunna förbättras meddelade Försäkringskassan att de inte längre kunde rekommendera en vidareutveckling av det befintliga BOTP. Frågan togs upp för beslut hösten 2016 på Pensionsmyndighetens ledningsgrupp och man förordade då att ta fram både en ny lösning för ärendehanteringen och en ersättare för BOTP i sin helhet. Beslut att utreda denna väg och avsluta övriga åtgärder togs.

Långsiktigt har vi diskuterat fyra huvudvägar för det långsiktiga systemet för bostadstillägg. En är att bygga på vårt befintliga system, enligt den modell vi gjort för övrig ärendehantering. Det är den lösning vi främst jobbat efter. Ett annat alternativ är att bygga om vårt system och inte bara bygger på det. En tredje väg är att bygga ett helt nytt system. Och en fjärde är att inte göra något alls.

Det visar sig dock att det blir mycket komplicerat och därmed dyrt och riskfyllt att bygga på det befintliga systemet, det vill säga den lösning vi främst jobbat på. Det krävs till exempel sex timmars test för varje utvecklingstimme, och därför är detta något som vår leverantör Försäkringskassan inte rekommenderar.

Som läget är nu, så framstår det som bäst att bygga ett nytt system – vilket man kan göra på olika sätt med eller utan Försäkringskassan. Det alternativet ska nu belysas fram till årsskiftet.20

Enligt uppgifter från Försäkringskassans it-arkitekt21 med ansvar för BOTP var problemen med att bedriva vidareutveckling i det befintliga systemet välkända hos personer på Försäkringskassan sedan flera år tillbaka. Vilken information som delgivits Pensionsmyndigheten är dock oklart för honom.

Den förstudie som sedan genomfördes landade i rekommendationer om att utveckla helt nya applikationer hos både Försäkringskassan och Pensionsmyndigheten.22 Det nya it-stödet för bostadstillägg för pensionärer fick namnet NBT och ett utvecklingsprojekt startade april 2017 med beräknad slutleverans hösten 2019.23

1.4.1.2 Skatteverket

Fallstudien på Skatteverket har inte varit inriktad mot ett enskilt it-system på samma sätt som hos Pensionsmyndigheten, utan har mer övergripande berört it-system inom momshantering, folkbokföring och inkomstbeskattning.

20Pensionsmyndigheten, Utdrag från protokoll från ledningsgruppsmöte 20160908, Pensionsmyndigheten, 2016.

21Intervju med representant för Försäkringskassan 2019-04-12.

22Pensionsmyndigheten, Förstudierapport F-NBT, Pensionsmyndigheten, 2017, s. 5.

23Pensionsmyndigheten står för utvecklingen av ärendehantering och processlogik och Försäkringskassan utvecklar beräkningsstödet.

R I K S R E V I S I O N E N 17

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Beskrivningen har därmed inte heller samma detaljeringsgrad som för pensionsmyndigheten. De it-system som har berörts av fallstudien är Tina (Taxering i ny applikation) inom inkomstbeskattningen, Poff inom folkbokföringen och MomsAG inom momshanteringen. Tina har studerats mer som ett exempel på en process för att ersätta föråldrade system snarare än med fokus på själva systemet. Poff och MomsAG har studerats utifrån att de rent faktiskt är föråldrade it-system och att Skatteverket också bedömer dem på det sättet. Tanken har även med dessa system varit att beskriva ”vad som händer runt omkring it-systemet” snarare än själva systemet i sig.

Tina är ett system som i huvudsak har utvecklats under perioden 2011 till 2014. Tidigare fanns det ett femtontal olika tekniska applikationer som stöd för att handlägga inkomstbeskattningsärenden. De applikationerna byggdes under 1980-, 1990- och 2000-tal i olika tekniska miljöer. Trots de många systemen så utfördes ändå flera arbetsuppgifter manuellt. Sammantaget så innebar det att medarbetarna hade en mycket komplicerad miljö att arbeta i och att mycket tid gick åt till andra arbetsuppgifter än själva handläggningen. Ny lagstiftning var tvungen att implementeras i flera olika system och dubbellagring och transfereringar av information var vanligt förekommande. Med det som bakgrund påbörjades en första förstudie, benämnd Föntax24 vid millennieskiftet. Den följdes sedan av fnysrapporten25 och arbetet med förnyelsen26. Resultatet av dessa arbeten landade sedan i Tinaprogrammet som skapades 2005. Programmet driftsatte de första delarna för inkomstdeklaration 2 (INK2)27 i Tina under våren 2008. De första driftsättningarna var inte helt lyckade. Användarna hade synpunkter på både funktionaliteten och systemet som sådant. Under hösten 2009 upphörde programmet och inom förvaltningen dedikerades arbetet till att förbättra befintlig funktionalitet. Två tekniska granskningar, en intern och en extern, gjordes också då systemet upplevdes som segt och instabilt av användarna. Avsikten var att utvärdera om Tina lämpade sig för ytterligare expansion. Båda granskningarna kom fram till att så var fallet om vissa åtgärder vidtogs, vilket också skedde. Under våren 2010 beställde produktionsavdelningen (PA) en fördjupad förstudie för att utreda om och i så fall till vilka delar, i vilken takt, till vilken omfattning samt

i vilken ordning som Tinaapplikationen skulle expandera inom inkomstbeskattningsområdet på tre års sikt. Målet med uppdraget var även att säkerställa att Tina utvecklades på sådant sätt att applikationen skulle kunna användas som en generell plattform inom Skatteverkets verksamheter i framtiden.

24FÖNTAX = Förstudie nytt taxeringssystem.

25Fnys = Förnyelsen, skedde under 2002–2003.

26Förnyelsearbetet pågick under 2004 och 2005 och indelades i uppdragen mottagning, uppföljning och urvalen. I det här arbetet ”föddes” filöverföringstjänsterna för kontrolluppgifter och näringsidkare.

27Inkomstdeklarationsblankett som används av aktiebolag, ekonomiska föreningar m.fl.

18 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Under våren 2011 började projektet arbeta och Tina har varit i drift hos Skatteverket sedan 2014.28

Folkbokföringens it-stöd är indelat i tre applikationsområden: Folke, Poff och Navet. Navet innehåller applikationer, tjänster och register som syftar till att tillhandahålla aktuella folkbokföringsuppgifter till resten av samhället. Övriga förmågor inom folkbokföringen hanteras inom Poff och Folke. Poff innehåller de äldre delarna medan Folke innehåller de delar av it-stödet som har utvecklats de senaste 15 åren. Applikationsområdena Folke och Poff delar en gemensam databas.29 Redan i slutet av 1990-talet ansågs Poff vara omodernt. För att möta folkbokföringsverksamhetens framtida behov initierades kring millennieskiftet utvecklingen av Folke. Ambitionen var att Folke skulle bli ”det nya folkbokföringssystemet” och ta folkbokföringen in i det som vi idag kallar e-förvaltning. Därmed betraktades ”det gamla folkbokföringssystemet” Poff som föremål för snar avveckling. Fokus vid etablering och utveckling av Folke har varit externa gränssnitt30, intern effektivisering och ny funktionalitet. Skatteverket har generellt avgränsat insatserna till de delar som har gett störst effektvinster.

En konsekvens av det valet är att endast marginella delar av Poff i praktiken har kunnat avvecklas. Då Poff trots detta till stor del har betraktats som föremål för avveckling har förvaltningen av systemet blivit nedprioriterad till att i princip endast omfatta vidmakthållande och lagtvingande anpassningar. Detta har i sin tur lett till en successivt ökande teknisk skuld och Poff är idag fortfarande

ett omodernt system som än mindre motsvarar verksamhetens behov och som dessutom på grund av stor teknisk skuld och omodern teknisk plattform börjar bli svårt att vidmakthålla.31

Dagens hantering av moms sker i huvudsak i MomsAG-systemet. Skatteverkets stöd inom beskattningsområdet är uppdelat på it-komponenter och verksamhetskomponenter som har utvecklats och förvaltats över en period om mer än 20 år, utifrån de krav och förutsättningar som vid varje tidpunkt har gällt i fråga om organisation av verksamheten, arbetssätt, tillämpning av regelverk samt val av tekniska lösningar.32 Systemet MomsAG lanserades 1998. Den teknikplattform som systemen bygger på är utifrån ett Skatteverksperspektiv på väg att nå end of life (EOL).33 Som system betraktat är det ursprungligen konstruerat för att tillhandahålla information för handläggarna och inte för att interagera med en omvärld utanför Skatteverket. Det innebär att när systemet inte

28Skatteverket, Huvudprojekt Tina, Sammanfattande slutrapport Etapp 1–3, Skatteverket, 2015, s. 8–9.

29Skatteverket, Målarkitektur FbF, Skatteverket, 2018, s. 24.

30Utformning av en viss förbindelse mellan olika objekt. Hur man kommunicerar mellan olika mjukvarumoduler och/eller hårdvarumoduler.

31Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018, s. 5.

32Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2.

33Tidpunkt när support för hård- eller mjukvara som tillhandahålls av en extern part upphör.

R I K S R E V I S I O N E N 19

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

nyttjas av handläggarna kvällstid, tas det ner för batchuppdatering34 av registren. Ur ett digitaliseringsperspektiv så är den allmänna uppfattningen inom Skatteverket att det inte bara är den tekniska plattformen som är föråldrad, utan även systemet är på väg att nå end of life inom en nära framtid. Kraven på mer realtidsbaserad information, ökade integrationer mot omvärlden, automatisering av tester etcetera skapar systemkrav som på sikt endast kan uppfyllas genom en systemförnyelse.35 Behovet av att se över dagens momshantering och ta fram nya möjligheter för såväl redovisning som intern hantering av ärenden bedöms därmed av Skatteverket som stort. Både externa krav och förväntningar på

en effektivare redovisning av moms och behov av intern förnyelse skyndar på utvecklingen.36

1.4.2 Enkät

I nästa moment har erfarenheterna från fallstudierna använts för att konstruera frågor till en enkät.37 Tanken med enkäten har varit att kartlägga omfattning och konsekvenser av föråldrade it-system. De myndigheter som har undersökts genom enkäten är de myndigheter som har ingått i ESV:s it-kostnadsuppdrag.38 I stort sett alla av dessa myndigheter är skyldiga att följa förordning (2007:603) om intern styrning och kontroll (FISK). Förordningen omfattar stora myndigheter med stor påverkan på statsförvaltningen som helhet eller myndigheter där man har identifierat särskilda risker (exempelvis är en utpekad risk att myndigheten har omfattande och komplexa it-system).39 Genom att myndigheterna sedan 2015 har ingått i ESV:s it-kostnadsuppdrag har ESV följt dessa myndigheter och samlat uppgifter om myndigheternas it-miljö och it-kostnader. Myndigheterna har därför genomfört ett relativt omfattande arbete med att ta fram nyckeltal och följa sin it-verksamhet jämfört med vad som förmodligen är fallet gällande övriga myndigheter. Myndigheterna som ingår i it-kostnadsuppdraget står dessutom uppskattningsvis för någonstans mellan 62,5 och 75 procent av de totala it-kostnaderna i staten.40 Enkäten har ställts till myndigheten med en instruktion

34Bearbetning av stor datamängd (en batch) utan mänsklig medverkan. Körningen är alltså inte interaktiv.

35Skatteverket, Förstudierapport 98-systemen, Skatteverket, 2017, s. 7.

36Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2.

37Enkäten finns i sin helhet att ladda ner från Riksrevisionens webbplats.

38Det rör sig om totalt 64 myndigheter. Berörda myndigheter framgår av bilaga 1.

39De myndigheter som omfattas av förordningen om intern styrning och kontroll är samma myndigheter som är skyldiga att följa internrevisionsförordningen. Se 1 § förordningen (2007:603) om intern styrning och kontroll. Regeringens kriterier för att en myndighet ska omfattas av internrevisionsförordningen utarbetas av budgetavdelningen på Finansdepartementet och är uppdelade i väsentlighetskriterier och riskkriterier. Se Riksrevisionen, Internrevisionen vid myndigheter

– En funktion som behöver stärkas, RiR 2017:5, bilaga 1.

40Ekonomistyrningsverket, Myndigheters strategiska it-projekt, it-kostnader och mognad, Ekonomistyrningsverket, ESV 2018:30, 2018, s. 6. It-kostnaderna för myndigheterna i urvalet i förhållande till de totala uppskattade kostnaderna på 25–30 miljarder.

20 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

att vissa frågor bör besvaras av myndighetens ledning eller en övergripande stabsfunktion och vissa besvaras av myndighetens it-chef eller motsvarande funktion. De flesta myndigheter har haft en bredd på vilka funktioner som har deltagit i beredningen av svaren i form av exempelvis arkitekter, representanter från enhet för verksamhetsutveckling, it-chef. De flesta myndigheter har dock en tyngdpunkt på it-sidan snarare än verksamhetssidan när det gäller vem som har deltagit i beredningen. Av de 64 myndigheter som ombads besvara enkäten har samtliga 64 inkommit med svar.

Vad gäller resultaten har Riksrevisionen i avsnitt 3.5 och 4.2 valt att redovisa universiteten separat på grund av att de skiljer sig åt jämfört med övriga myndigheter.41 Universiteten kan sägas ha två it-miljöer. En utgörs av den it som används inom forskningen och som hanteras av forskarna själva. Den är ofta experimentell och ingår som en del av själva forskningen och därmed passar den heller inte in i en traditionell it-styrning med målarkitektur eller liknande. Den andra it-miljön hos universiteten är mer ”administrativ” till sin natur och liknar övriga myndigheters it-miljö. Utifrån detta är det svårt att fullt ut jämföra resultaten med andra myndigheter och Riksrevisionen har därför valt att redovisa universiteten separat.

Myndigheternas svar på enkäten har även jämförts med de uppgifter som ESV har samlat in avseende myndigheternas it-kostnader och myndigheternas digitala mognad för att åstadkomma ytterligare djup i analysen.

1.4.3 Frågeformulär och intervjuer på Regeringskansliet

Det tredje och sista momentet har omfattat regeringens styrning. För att undersöka vilken kunskap regeringen och Regeringskansliet har kring förekomsten av föråldrade it-system i statsförvaltningen och vilka åtgärder man eventuellt har vidtagit har Riksrevisionen skickat ett frågeformulär till Regeringskansliet. Frågeformuläret skickades till de departement som ansvarar för de myndigheter som ingick i enkätutskicket. Departementen har besvarat frågor gällande 63 av myndigheterna och 64 av myndigheterna har besvarat enkäten. Totalt ingår 63 myndigheter i grundpopulationen. Boverket ingår inte då frågor om myndigheten inte ingick i utskicket till Finansdepartementet. Riksrevisionen har delat upp myndigheterna i sex olika kategorier.

Regeringens agerande har även granskats genom dokumentstudier och intervjuer. De skriftliga underlag som innefattas i granskningen kopplat till regeringens styrning har varit propositioner, utredningsdirektiv, regeringsuppdrag, regleringsbrev, departementspromemorior och rapporter.

41I övriga avsnitt ingår universiteten i den redovisning som görs.

R I K S R E V I S I O N E N 21

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

2 Förekomsten av föråldrade it-system

Kapitel två beskriver förekomsten av föråldrade it-system samt problem som typiskt sett är förknippade med sådana it-system. Kapitlet beskriver också vilka risker som är förenade med föråldrade it-system för den enskilda myndigheten såväl som för statsförvaltningen i stort. De iakttagelser som beskrivs i kapitlet svarar mot första delen av granskningens syfte.

2.1Effektivitetsperspektivet på föråldrade it-system

Att i dagens samhälle bedriva en verksamhet utan någon form av it-stöd är förmodligen knappast möjligt. De uppskattningar som har gjorts tyder på att statens it-kostnader för 2016 uppgick till någonstans mellan 25 och 30 miljarder42 och it har därmed även ur ett budgetperspektiv stor betydelse. Många äldre it-system är byggda utifrån tanken att systemet ska hantera alla steg i en process, exempelvis handläggning och utbetalning av en förmån. Det innebär att systemet utformas utifrån hur processen såg ut när systemet skapades. Under åren kanske processerna förändras och därmed görs även förändringar i själva systemet. Detta skapar på sikt ett mycket komplext system. Äldre system saknar även många gånger tillräcklig dokumentation för att kunna förstå hur systemet är uppbyggt. Många system är baserade på gammalt programspråk och bygger ofta på att man måste göra batchkörningar för att uppdatera de underliggande databaserna, vilket innebär att systemet inte är tillgängligt under den tiden körningen görs. Att systemen är byggda med gammalt programspråk innebär även att det är svårt att få tag på medarbetare som har tillräcklig kompetens, och kostnaderna blir höga. Hög komplexitet och bristfällig dokumentation innebär i sin tur att förändringar i systemet kräver en ökad mängd tester som i sin tur leder till högre kostnader. Sammantaget innebär dessa faktorer att kostnaderna för att förvalta föråldrade system ökar med tiden. Komplexiteten innebär även att det blir svårare och svårare att göra förändringar i systemet, vilket i sin tur innebär att det blir svårt att tillgodose förändrade behov i kärnverksamheten. Om systemet har inbyggd verksamhetslogik43 skapar man en inlåsningseffekt utifrån hur processen såg ut när systemet byggdes och det förhindrar i sin tur verksamhetsutveckling.

Föråldrade it-system innebär även risker ur ett informationssäkerhetsperspektiv. Avsaknaden av tillräcklig systemdokumentation i kombination med hög komplexitet till följd av ett stort antal förändringar och påbyggnader under årens lopp kan innebära att systemet beter sig på ett oönskat sätt och att man inte förstår

42Ekonomistyrningsverket, Myndigheters strategiska it-projekt, it-kostnader och mognad, Ekonomistyrningsverket, ESV 2018:30, 2018, s. 6.

43Verksamhetslogik beskriver hur olika händelser och skeden förmodas hänga samman, från mål och resurser till verksamhet och från verksamhet till prestationer och effekter.

22 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

varför så sker. Batchkörningar kan även innebära svårigheter att kontrollera och upprätthålla informationskvalitet på informationen i databaserna, exempelvis beroende på att systemet saknar verktyg för att söka och kontrollera felaktigheter.

Sammantaget innebär föråldrade it-system risker kopplade till såväl hushållning som måluppfyllelse. Ökande förvaltningskostnader utan ökad nytta innebär bristande hushållning med statens resurser. Det innebär även att utrymmet för att utveckla nya innovativa lösningar som ger verksamhetsnytta minskar. Hög komplexitet och låg förändringsbarhet hos föråldrade it-system innebär även att det är svårt att åstadkomma de effekter som riksdag och regering efterfrågar utifrån en ökad digitalisering. Slutligen innebär föråldrade it-system även

en risk för att man inte kan upprätthålla en nödvändig nivå avseende informationssäkerhet.

2.2Antal verksamhetskritiska system

I enkätutskicket ställde Riksrevisionen frågan om hur många verksamhetskritiska it-system som finns i respektive myndighets kärnverksamhet.

Ett verksamhetskritiskt system definierades som ett it-system som är avgörande för att verksamheten ska fungera.44 Antalet verksamhetskritiska system varierar från 2 till 800 med ett medelvärde på 47 och en median på 11,5. Av myndigheternas svar framgår att ett fåtal stora myndigheter har en stor mängd system som påverkar medelvärdet. Medianvärdet speglar därmed bättre verkligheten för de flesta myndigheterna. Det vanliga verkar alltså vara att man har 10–12 verksamhetskritiska it-system.

44Någon mer utförlig definition lämnades inte vilket också till viss del avspeglade sig i myndigheternas svar. Ett talande svar från en av myndigheterna är följande: ”Om vi med system menar större komponent som redigerar information och sannolikt har ett grafiskt gränssnitt där verksamheten kan utföra sitt arbete så blir det cirka 10 stycken. Ser vi mer till den totala miljön så handlar det om plus 100 komponenter och plus 300 integrationer.” Flera myndigheter har framfört att det går att problematisera kring såväl it-system, verksamhetskritiskt som kärnverksamhet. Riksrevisionen är medveten om det men samtidigt så är det i grunden varje enskild myndighet som måste bestämma vad man anser vara ett it-system och vad som bör anses vara verksamhetskritiskt. Riksrevisionen har heller inte lyckats finna någon entydig och allmänt vedertagen definition på vad som faktiskt utgör ett it-system.

R I K S R E V I S I O N E N 23

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

2.3Förekomsten av föråldrade it-system

Under den inledande fasen av granskningen ställde Riksrevisionen ett antal frågor till de 64 myndigheter som berörs av granskningen för att undersöka omfattningen av föråldrade system. Två av frågorna var:

Finns det i verksamheten föråldrade/utdaterade system som fortfarande är i drift?

Har myndigheten de senaste fem åren avvecklat och ersatt ett föråldrat/utdaterat system?

Av de 63 svar som inkom svarade ungefär 70 procent (45 stycken) att det fanns föråldrade system i drift hos myndigheten. Ytterligare ungefär 13 procent

(8 stycken) svarade att man inte hade något föråldrat/utdaterat it-system men att man hade avvecklat ett föråldrat/utdaterat system de senaste fem åren. Hanteringen av föråldrade it-system är därmed en realitet för närmare åtta av tio myndigheter. I frågan definierades ett föråldrat/utdaterat system som

ett verksamhetskritiskt system/applikation som inte uppfyller verksamhetens krav på vad systemet skulle behöva prestera i nuläget i verksamheten.45 I svaren har myndigheterna därmed gjort en värdering av system och hur väl det presterar utifrån kärnverksamhetens behov. Svaren ger dock ingen ledning kring vilka de faktiska problemen är eller hur allvarliga de är. Det kan vara fullt rimligt att inte byta ut ett system även om det inte fyller alla behov verksamheten har. Ett sådant beslut kräver dock god inblick i vad systemet presterar och en uppfattning om vad som brukar kallas total cost of ownership, det vill säga alla kostnader som kan associeras med förvärvet, användningen och underhållet av en inköpt vara.46 Det kräver också kunskap om vilka alternativ det finns för att eventuellt ersätta med ett nytt system som på ett bättre sätt stödjer verksamhetens behov och vad det i sin tur skulle kosta.

2.4Förekomsten av problem i myndigheternas it-system

I enkäten fick myndigheterna bedöma hur väl ett antal påstående stämde in med myndighetens totala it-miljö. Påståendena rörde komplexitet, it-arkitektur, integration mellan system och om problem i enskilda it-system skapar problem för hela it-miljön.

45I förfrågan som gick ut till myndigheterna användes begreppet legacysystem, vilket definierades som ett verksamhetskritiskt system/applikation som inte uppfyller organisationens krav på vad systemet skulle behöva prestera i nuläget i verksamheten. Det kopplas ofta till att systemet är gammalt men kan även bero på att systemet är specialanpassat/egenutvecklat, att det saknas support eller liknande.

46Se exempelvis https://www.gartner.com/it-glossary/total-cost-of-ownership-tco.

24 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Diagram 1 It-miljö, arkitektur och integration.

Hur väl stämmer följande in på myndighetens totala it-miljö?

Procent            
100               Stämmer inte alls
             
90              
               
80               Stämmer inte särskilt bra
             
             
70               Stämmer ganska bra
             
60              
             
              Stämmer mycket bra
50              
             
         
             
40                
               
30                
               
20                
               
10                
               
0                
  It-miljön är komplex på grund av ett stort antal heterogena itsystem. Myndighetens it-arkitektur är spretig. Integration mellan system är svårt/fungerar dåligt Problem i enskilda it-system skapar problem för hela it-miljön.
   

Vad gäller myndigheternas totala it-miljö uppger över två tredjedelar (45 stycken, 71 procent) av myndigheterna att it-miljön är komplex på grund av ett stort antal heterogena it-system. Över hälften (34 stycken, 54 procent) av myndigheterna uppger också att myndighetens it-arkitektur är spretig47 och närmare en tredjedel (19 stycken, 30 procent) att integration mellan system är svårt/fungerar dåligt. Ungefär en fjärdedel av myndigheterna svarar att problem i enskilda it-system skapar problem för hela it-miljön. Svaren tyder på att mer än hälften av myndigheterna har en it-miljö som visar tecken på att kanske inte ha utvecklats under en strikt arkitekturstyrning och utifrån en myndighetsövergripande koordinering.48

Utifrån arbetet med fallstudierna samt litteraturstudier kunde Riksrevisionen ta fram en kategorisering av vanliga problem förknippade med föråldrade it-system. De problemområden som typiskt sett förekom i samband med föråldrade it-system var:

brist på tillgång till rätt kompetens som kan förvalta it-systemet

att ett it-system som tillhandahålls av en utomstående part är på väg att nå end of life

att systemdokumentationen är bristfällig (exempelvis inte uppdaterad eller saknas helt)

att kostnaderna för att förvalta it-systemet ökar

att it-systemet bygger på hårdvara/mjukvara som försvårar anpassning/förändring av systemet

47 I enkäten definierades spretig som en arkitektur som strävar i flera olika riktningar till förfång
  för helheten.
48 Se sidan 31 nedan för ett mer utvecklat resonemang kring arkitekturstyrning och koordinering.
R I K S R E V I S I O N E N 25

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

att it-systemet tillhandahålls av utomstående part vilket försvårar anpassningar/förändringar utifrån verksamhetens behov

att det finns brister som gör det svårt att upprätthålla eftersträvad nivå på informationssäkerhet eller it-säkerhet.

Riksrevisionen ställde sedan frågor kring hur vanligt förekommande dessa problemen kopplade till föråldrade it-system var i myndigheternas verksamhetskritiska it-system.

Diagram 2 Problem kopplade till föråldrade it system.

Utgör följande omständigheter problem för myndighetens verksamhetskritiska it-system?

Procent                
100                   Nej inte för något system
                 
90                  
                   
80                   Ja för något eller några
                 
                 
70                   Ja för en majoritet
                 
60                  
                 
                   
50                   Ja för samtliga
                 
40                    
                   
30                    
                   
20                    
                   
10                    
                   
0                    
  Tillgång till kompetens End of life för externt tillhandahållet system Bristfällig systemdokumentation   Ökande förvaltningskostnader  
     

Diagram 3 Problem kopplade till föråldrade it system.

Utgör följande omständigheter problem för myndighetens verksamhetskritiska it-system?

Procent

100               Nej inte för något system
             
90              
               
80               Ja för något eller några
             
70               Ja för en majoritet
             
60              
             
              Ja för samtliga
50              
             
         
             
40                
               
30                
               
20                
               
10                
               
0                
  Svårt att anpassa/förändra systemet It-systemet tillhandahålls av utomstående part vilket försvårar anpassningar/föränd ringar Svårigheter att hantera informations- säkerhet/it-säkerhet
   

26 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Av diagrammen framgår att samtliga sju problem förekommer för något eller några verksamhetskritiska system hos ungefär 60 till 90 procent av myndigheterna. De minst förekommande problemen är de som är kopplade till att ett it-system tillhandahålls av extern part. Om man bortser från problem kopplade till it-system som tillhandahålls av utomstående part har mer än

80 procent av myndigheterna problem med något eller några verksamhetskritiska it-system. Problemen är således inte koncentrerade till ett fåtal myndigheter utan förekommer i en övervägande majoritet av det totala antalet myndigheter. För mellan 10 och 32 procent av myndigheterna förekommer de övriga fem problemen för en majoritet eller för samtliga av de verksamhetskritiska it-systemen. Problemen finns därmed inte bara hos en övervägande del av myndigheterna utan de förekommer även för en majoritet av de verksamhetskritiska it-systemen hos ett flertal myndigheter.

2.5Illustrativa exempel från fallstudierna

Båda myndigheterna har svarat att deras it-miljö är komplex och att arkitekturen är spretig. Vad avser integration skiljer det sig åt då Pensionsmyndigheten uppger att man inte anser att integration år svårt eller fungerar dåligt medan Skatteverket upplever problem eller svårigheter med integration. It-miljön på båda myndigheterna har en historik som sträcker sig årtionden tillbaka och grundar sig på ett arv från stordatormiljö och cobolsystem, ofta migrerade49 till java.50 Skatteverket har dock en it-miljö som är väsentligt mer omfattande än Pensionsmyndighetens och dessutom en större bredd i sin kärnverksamhet, vilket i sig innebär en ökad komplexitet. Pensionsmyndigheten har å sin sida en it-miljö med starka beroenden och kopplingar till Försäkringskassans it-miljö då flera system både försörjer Försäkringskassans system med information och i sin tur hämtar information från Försäkringskassans system. Det är svårt att säga varför de två myndigheterna skiljer sig åt i synen på integration men en möjlig förklaring kan vara just omfattningen av it-miljön. En annan tänkbar förklaring kan vara att Skatteverket har flera starka avdelningar med olika inriktning inom myndigheten medan Pensionsmyndigheten i högre utsträckning har ”en kärnverksamhet”. De system som har undersökts inom ramen för fallstudierna är, bortsett från Tina

i huvudsak monoliter51 och innehåller en stor mängd verksamhetslogik, det vill

49Att flytta över program, data eller hårdvara till någon annan tillämpning eller till någon annan plattform.

50Pensionsmyndigheten är en relativt nybildad myndighet men en stor del av it-miljön är

en ”avknoppning” från Försäkringskassan. Java är ett programspråk för att skapa datorprogram.

51Med monolit avses en applikation som har all funktionalitet i en och samma modul. En monolitisk applikation har oftast användargränssnitt, databasaccess, lätta och tunga funktioner (avkodning/beräkningar) etcetera i samma applikation. Motsatsen till en monolitisk arkitektur är en mikroservicearkitektur. Microservices (MSA) en variant av SOA (Service-oriented Architecture) som bygger upp en applikation av löst kopplade tjänster. Det vill säga att en applikation är uppdelad i mindre delar där varje del har en specifik funktion i applikationen. Applikationen är därmed modulär till skillnad från en monolitisk.

R I K S R E V I S I O N E N 27

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

säga system är konstruerade som ett stort system som ska hantera allting och systemet är utformat och designat för att passa en viss specifik verksamhetsprocess. Av de utpekade problemen ovan förekommer alla

i varierande omfattning i systemen hos Skatteverket. Flera system är gamla och dokumentationen kring system är bristfällig. Det innebär i sin tur att det tar lång tid att lära sig hur systemet fungerar och därmed skapas kritiska personberoenden. Sättet på vilket systemen är byggda innebär att det är svårt att anpassa och förändra systemen och det innebär också att det är svårt att upprätthålla informationskvalitet. Motsvarande gäller även för Pensionsmyndigheten och BOTP. Systemets konstruktion och komplexitet innebär att man inte riktigt vet vad som händer när man gör förändringar

i systemet. Komplexiteten innebär i sin tur att varje förändring kräver

en oproportionerligt stor mängd tester. Systemen kan sägas ”tuffa på” utifrån hur de ursprungligen var tänkta att fungera men de är i praktiken mycket svåra att anpassa till en föränderlig verksamhet.

2.6Sammanfattande iakttagelser

Utifrån syftet med granskningen kan Riksrevisionen konstatera att det förekommer en stor mängd föråldrade it-system hos ett stort antal myndigheter. De problem som normalt förknippas med föråldrade it-system förekommer även för en stor mängd system hos ifrågavarande myndigheter. Även om det tidigare fanns anledning att anta att det fanns föråldrade it-system i statsförvaltningen så är de resultat som framkommit i granskningen kring omfattning och utbredning i huvudsak ny kunskap. Det väcker i sin tur frågan kring vilken risk fenomenet innebär för den enskilda myndighetens verksamhet såväl som för statsförvaltningen som helhet.

28 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3 Styrningen av myndigheternas it-miljö

Kapitel tre beskriver den empiri som Riksrevisionen har samlat in med avseende på granskningens första revisionsfråga. Kapitlet är indelat i fem avsnitt och inleds med tre avsnitt som kopplar till granskningens tre huvudsakliga bedömningsnormer avseende myndigheterna. Därefter följer ett avsnitt som berör konsekvenserna av föråldrade it-system och avslutningsvis finns ett avsnitt som beskriver vilka övergripande mönster man kan se utifrån den insamlade empirin. Den empiri som beskrivs i kapitlet utgörs av enkätundersökningen, fallstudierna, de strategiska dokument som Riksrevisionen begärt in, de grunddata i form av nyckeltal som ESV samlat in under it-kostnadsuppdraget samt ett antal frågor som Riksrevisionen tillsänt samtliga myndigheter som besvarat enkäten.

3.1Myndigheternas uppfattning om it-stödets roll

En granskning av hanteringen av föråldrade it-system behöver ta hänsyn till den omkringliggande kontexten, det vill säga myndighetens totala it-miljö, för att man ska kunna göra en rättvisande bedömning. Det innebär att granskningen måste innefatta den övergripande styrningen och förvaltningen av myndighetens hela it-miljö. För att myndigheten ska kunna skaffa sig en uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse behöver man ett antal verktyg till sitt förfogande. Exempel på sådana vedertagna verktyg är digitaliseringsstrategi, verksamhetsarkitektur, stadsplan och målarkitektur.52 Riksrevisionen har därför ställt ett antal frågor kring huruvida myndigheterna har sådana verktyg till sitt förfogande. Resultatet beskrivs under respektive rubrik nedan. Avsnittets iakttagelser hänför sig till den första bedömningsnormen (se avsnitt 1.3).

3.1.1 Digitaliseringsstrategi

Digitalisering handlar om mer än bara teknik och bör snarare ses som verksamhetsutveckling med stöd av digitala verktyg. Riksrevisionen har tidigare framfört att digitaliseringen måste kombineras med institutionella förändringar för att potentialen i de digitala tjänsterna ska kunna nyttjas på bästa sätt.53

En digital strategi används för att dels definiera vad digitalisering innebär för den specifika verksamheten, dels beskriva hur verksamheten kan använda digitalisering för att bli mer effektiv och i vissa fall mer konkurrenskraftig.54

52Se exempelvis Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014.

53Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 13.

54Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 30.

R I K S R E V I S I O N E N 29

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Riksrevisionen har därför ställt ett antal frågor som rör myndigheternas eventuella digitaliseringsstrategier.

Diagram 4 Hur har myndigheten hanterat sina digitaliseringsfrågor?

Digitaliseringsfrågorna hanteras inte

i något dokument alls.

Myndigheten har inte någon separat

strategi men frågorna hanteras

i andra styrande dokument.

Bara i en separat digitaliseringsstrategi.

Både i en separat digitaliseringsstrategi

såväl som integrerat i andra

styrande dokument.

0 10 20 30 40 50 60 70

Procent

Riksrevisionen utgår från att ett lämpligt tillvägagångssätt är att myndigheterna hanterar digitaliseringsfrågor i såväl en separat strategi som integrerat i andra styrande dokument. Man kan samtidigt anföra att digitalisering är verksamhetsutveckling och att en framgångsfaktor därmed skulle vara att inte ha en separat strategi bara för digitalisering utan att i stället hantera digitalisering integrerat med övrig verksamhetsutveckling. Det är säkert en rimlig slutsats för en organisation med hög digital mognad, men Riksrevisionen anser att det finns ett värde med att även ta fram en separat strategi för att peka ut en riktning

i organisationer med en lägre digital mognad.55

Av diagrammet framgår att i stort sett alla myndigheter säger sig hantera digitalisering i styrande dokument, men mer än hälften av myndigheterna saknar en separat digitaliseringsstrategi. Riksrevisionen ställde även frågor om huruvida myndigheterna hade beaktat regeringens digitaliseringsstrategi och om myndigheterna hade brutit ner strategin i konkreta åtgärder för att uppnå målen med strategin. Av de myndigheter som besvarade frågorna hade 77 procent

(34 stycken) beaktat regeringens strategi och 60 procent (27 stycken) hade brutit ner strategin i konkreta åtgärder.

Som en avslutande fråga kopplad till digitaliseringsstrategi ombads myndigheterna att uppge om man ansåg sig ha tillräckliga förutsättningar att leva upp till de krav som följer av regeringen digitaliseringsstrategi.

55Se även Björkdahl, J., Wallin, M. W., Kronblad, C., Digitalisering − mer än teknik, Kartläggning av svensk forskning och näringslivets behov, Vinnova rapport VR 2018:06, Vinnova, 2018, s. 9.

30 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Av svaren framgår att 43 procent av myndigheterna bedömer att de saknar tillräckliga förutsättningar för att leva upp till de krav som följer av regeringens digitaliseringsstrategi. Myndigheterna fick möjlighet att lämna fritextsvar med förtydliganden kring vilka hinder man upplever och då angavs bland annat resurser/finansiering, lagstiftning och juridiska förutsättningar, föråldrad teknik som skapar tekniska problem och avsaknad av en nationell digital infrastruktur som skapar bättre nationell standard/ramverk så offentliga aktörer och privata kan skapa bättre e-tjänster som går sömlöst mellan olika aktörer i ett ekosystem som svårigheter. De bristande förutsättningarna utgörs av en blandning av institutionella förutsättningar som myndigheterna inte själva råder över och egna interna tillkortakommanden.

3.1.2Verksamhetsarkitektur, stadsplan, målarkitektur och informationsklassning

It kräver, precis som vilken annan del av verksamheten som helst, styrning för att säkerställa att man producerar det bästa möjliga it-stödet utifrån de resurser som finns tillgängliga. I en mindre organisation är systemlandskapet oftast mindre och inte lika komplext. I en större verksamhet är organisationen indelad

i verksamhetsgrenar. Varje enhet har ofta sin egen agenda och mål och krav att uppfylla. Utifrån de olika delverksamheternas olika målbilder bedrivs ett återkommande förändringsarbete som naturligt också kommer att påverka och förändra systemlandskapet. I de fall organisationen saknar en gemensam plan och övergripande koordinering är risken stor att systemlandskapet på sikt blir oerhört komplext och fragmentiserat då framväxten skett i funktionella silos56 utifrån varje delverksamhets mål och krav. När omgivningen ändras och kanske kräver mer tvärfunktionell förmåga av organisationen kommer de suboptimeringar som införts göra sig påminda. Begränsningarna innebär att det kommer att kosta mer, ta längre tid och vara förknippat med större risk att genomföra förändringar

i systemlandskapet. Verksamheten blir lidande och får brottas med långa omställningstider och kvalitetsproblem. Ytterst kan det handla om att it blir ett hinder för fortsatt utveckling av verksamheten. Att moget planera och koordinera utvecklingen av systemlandskapet är därför viktigt.57

För att veta hur it kan understödja verksamheten på bästa sätt krävs därmed en bild av hur kärnverksamheten ser ut i form av olika processer, verksamhetsförmågor och liknande och hur verksamhetens utformning är tänkt att bidra till att uppnå de mål som finns för verksamheten. En sådan bild kan

56Med funktionella silos avses en uppdelad organisation där varje avdelning eller funktion arbetar utifrån det egna uppdraget utan koppling till en större helhet.

57Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 44.

R I K S R E V I S I O N E N 31

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

manifesteras i en verksamhetsarkitektur58, eller förenklat en form av sprängskiss över de olika delarna i verksamheten och hur de påverkar och understödjer varandra. Det finns en rad olika modeller för hur man skapar

en verksamhetsarkitektur och hur den kan se ut.59 Många av modellerna är vid en första anblick relativt komplicerade och kan normalt sett inte heller appliceras rakt av på en organisation. Riksrevisionen har därmed inte någon uppfattning kring vilka av dessa modeller som är mer eller mindre lämpliga, utan ser modellerna som ett möjligt stöd när man försöker skapa sin egen verksamhetsarkitektur. Att organisationen skapar sig någon form av verksamhetsarkitektur är dock närmast ofrånkomligt om man har som mål att säkerställa att it understödjer verksamheten på bästa sätt.60 Hur man går till väga eller hur verksamhetsarkitekturen ser ut i slutändan är dock förmodligen av mindre betydelse än att arbetet faktiskt sker. Hur omfattande och detaljerad

en sådan verksamhetsarkitektur bör göras är en avvägning mellan den arbetsinsats som krävs och den nytta man bedömer att en framtagen arkitektur faktiskt bidrar med.

Verksamhetsarkitekturen kan sedan brytas ner och på nästa nivå kan man arbeta med en högre detaljeringsgrad i form av vad som brukar kallas för stadsplan.61 En stadsplan är en översiktsbild av en verksamhets viktigaste system. Med hjälp av stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga utbredningen av den sammantagna portföljen av it-system) och den förmåga verksamheten behöver för att hantera sin information under avvägda, kontrollerade former.62

58Verksamhetsarkitektur benämns ofta som Enterprise Architecture (EA). Verksamhetsarkitektur handlar om att ha en tydlig, gemensam bild av den verksamhet man arbetar i för att kunna fatta väl underbyggda beslut och arbeta så effektivt som möjligt. Det handlar om att förstå den affär verksamheten bedriver, vilka kunderna är och vilka behov de har, vilka mål som verksamheten har, hur man arbetar för att uppnå dessa mål, vilken information som måste hanteras för att kunna bedriva arbetet, samt vilket it-stöd som finns i arbetet. Inom verksamhetsarkitekturen används

en mängd olika verktyg för att beskriva dessa komplexa strukturer och deras samband. Verktygen är ofta olika typer av modeller som visuellt beskriver verksamheten och samband mellan olika delar (Jansson, A., Verksamhetsarkitektur, Strategi och praktik för effektivare företag, 2017, s. 13).

59Här kan som exempel nämnas TOGAF (the Open Group Architecture Framework), Zachmans ramverk, DoDAF (Department of Defense Architecture Framework) och FEA (Federal enterprise Architecture Framework).

60Se exempelvis Jansson, A., Verksamhetsarkitektur, 2017 eller Gong, Y., Janssen, M., The value of and myths about enterprise architecturer, International journal of information management, Volume 46, 2019, Pages 1-9.

61En översiktsbild av en verksamhets viktigaste system. Den har en struktur och ordning som baseras på principer för arkitektur och är en förutsättning för översikt, prioritering och optimering. Med hjälp av stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga utbredningen av den sammantagna portföljen av it-system) och den förmåga verksamheten behöver för att hantera sin information under avvägda, kontrollerade former.

62Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 43.

32 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Nästa steg är att arbeta med en målarkitektur som är en beskrivning av den arkitektur som organisationen bör sträva mot. Målarkitekturen och stadsplanen beskriver arkitektur på olika nivåer. Stadsplanen beskriver på en ganska hög nivå vilka förmågor, informationsbehov samt system som ska finnas och systemens roll i olika delar av verksamheten. Målarkitekturen beskriver systemen mer konkret men utan att gå ner på detaljer. Den arkitektur organisationen har idag är en nulägesarkitektur, vilken i princip aldrig är den mest optimala för organisationens behov. Organisationens behov har förändrats och arkitekturen har kanske inte hängt med. Kanske har arkitekturen aldrig varit helt anpassad efter verksamhetens behov. Målarkitekturen däremot är helt anpassad efter organisationens och verksamhetens behov, men den är en fiktiv pappersprodukt. Skulle målarkitekturen finnas i verkligheten skulle den stödja organisationens behov på det mest optimala sättet.63

Ovan nämnda saker utgör sådant som myndigheterna löpande måste förhålla sig till för att kunna bedöma hur föråldrat ett it-system ska anses vara utifrån kärnverksamhetens behov. Resultaten visar att endast 10 procent av myndigheterna har tagit fram en fullständig verksamhetsarkitektur. Av resterande myndigheter hade 73 procent tagit fram en verksamhetsarkitektur för vissa delar av verksamheten och 17 procent inte för någon del av verksamheten.

Vad gäller övriga nödvändiga verktyg svarade myndigheterna följande:

Diagram 5 Frågor om stadsplan, målarkitektur och arkitekturstyrning.64

Procent 70

60

50

40

30

20

10

0

Har myndigheten en stadsplan Har myndigheten tagit fram Använder myndigheten
eller en heltäckande systemkarta? en styrande målarkitektur för it? arkitekturstyrning i
    utvecklingsprocessen för it?

Ja Nej

63Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 48.

64Arkitekturstyrning handlar om att övergripande vägleda, styra och följa upp utveckling och realisering av verksamhetens arkitektur inom ramarna för en bestämd process. En del handlar om att slå fast tillämpbara arkitekturstandarder och att hantera och följa upp undantag i it-portföljen. En annan del handlar om att vägleda och styra den operationella utvecklingen genom ett antal kontrollpunkter, så att utvecklingen följer målarkitekturen med förhållandevis få undantag (se Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 20).

R I K S R E V I S I O N E N 33

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Av diagrammet och texten ovan framgår att endast tio procent av myndigheterna har tagit fram en fullständig verksamhetsarkitektur och att mer än hälften av myndigheterna saknar en utgångspunkt eller struktur för sin utveckling i form av stadsplan och målarkitektur. Det är dock en större andel myndigheter som svarar att man använder arkitekturstyrning i utvecklingsprocessen av it men Riksrevisionen gör bedömningen att det förmodligen handlar om en begränsad form av arkitekturstyrning eftersom flera av myndigheterna som säger sig bedriva arkitekturstyrning saknar fullständig verksamhetsarkitektur, stadsplan och målarkitektur.

I den avslutande frågan som rörde arkitektur gavs myndigheterna möjlighet att i fritext besvara hur man säkerställer att utvecklingsprojekt följer eventuell målarkitektur eller referensarkitektur. Riksrevisionen har jämfört fritextsvaren för att se om myndigheterna beskriver en strukturerad process med någon form av godkännande i jämförelse med eventuell mål- eller referensarkitektur. Exempel på en sådan process kan vara en tvingande granskning av ett arkitekturråd. Av totalt 63 svar har Riksrevisionen bedömt att 25 av myndigheterna kan anses beskriva en sådan strukturerad process medan 38 myndigheter har svarat på ett sätt som tyder på att man inte har en sådan process.

Bilden att myndigheterna inte har alla nödvändiga verktyg på plats stärks också efter en genomgång av myndigheternas strategiska dokument. Myndigheterna uppger exempelvis att man behöver prioritera förenklingen av it-landskapet

i enlighet med framtagen målarkitektur och öka förståelsen för arkitekturens betydelse samt upparbeta ett ramverk för arkitektur. En myndighet beskriver exempelvis talande att it-arkitektur blir allt viktigare och att myndigheten kommer behöva en arkitektonisk beskrivning av hur myndighetens alla system och komponenter hänger ihop (en så kallad stadsplan). Myndigheten skriver vidare att med rätt it-arkitektur kan myndigheten minska risken för att systemen blir monoliter som inte kan interagera med andra system eller verksamheter som vill att informationen kan flöda fritt inom organisationen.65

En ytterligare nödvändig förutsättning för att kunna förhålla sig till it-stödets ändamålsenlighet utifrån kärnverksamhetens mål är att man vet på vilket sätt informationen måste hanteras. För att veta det krävs att man genomför

en informationsklassning. I enkäten ställde Riksrevisionen därför frågor om huruvida myndigheterna har genomfört informationsklassning för sina verksamhetskritiska system.

65Sammanfattning av myndigheternas strategiska dokument, Riksrevisionen 2019.

34 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Diagram 6 Har myndigheten genomfört informationsklassning för verksamhetskritiska it-system?

Procent 40

35

30

25

20

15

10

5

0

Ja för samtliga Ja för en majoritet av Ja, för något eller några Nej, inte för något
it-system it-systemen av it-systemen av it-systemen

Av svaren framgår att ungefär två tredjedelar av myndigheterna har genomfört

en informationsklassning för samtliga eller en majoritet av de verksamhetskritiska systemen. Samtidigt har ungefär en tredjedel av myndigheterna inte genomfört en informationsklassning för åtminstone hälften av sina verksamhetskritiska system.

3.1.3 Illustrativa exempel från fallstudierna

Vid en genomgång av Skatteverkets it-strategi från 2012 framgår att myndigheten nämner allt som har behandlats i ovanstående kapitel. Man nämner offensiv arkitekturstyrning, etablering av en styrmodell och processer för it-utveckling och förvaltning som är anpassade till en sammanhållen myndighet, att utveckling och införskaffande av it-stöd endast får göras i enlighet med fastlagd koncernarkitektur, att man tillämpar EA66 på ett pragmatiskt sätt för att få ut maximal nytta genom att utgå ifrån etablerade modeller, metoder och standarder som fungerar i Skatteverkets miljö. Samtidigt kan man konstatera att utifrån den nya synen på Skatteverkets verksamhet, och vilken roll myndighetens it-stöd ska spela i den verksamheten, så har myndigheten ett it-stöd som ligger långt ifrån den målbilden. Man beskriver en förflyttning från ärendebaserad hantering till informationsbaserad hantering och att man vill åstadkomma

en informationscentrisk arkitektur.67 Riksrevisionen har inte haft möjlighet att i detalj granska hur varje eventuell utvecklingsinsats har förhållit sig till

66Enterprise architecture.

67Skatteverket, Vision SIBU – Sammanställt inkomstbeskattningsunderlag, Skatteverket, 2017, s. 3.

Med informationscentrisk avses en arkitektur som stödjer att informationen sätts i centrum snarare än en händelse eller en process. Strukturen för information är uppbyggd så att informationen blir tillgänglig för alla processer som behöver den.

R I K S R E V I S I O N E N 35

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

en eventuell målarkitektur eller verksamhetsarkitektur. Utifrån de underlag Riksrevisionen har tagit del av angående Tina görs få om några kopplingar till verksamhetsarkitektur, målarkitektur, stadsplan eller liknande. De intervjuer Riksrevisionen har gjort ger en bild av att myndigheten delvis har kämpat med den övergripande it-styrningen. Starka avdelningar verkar ha drivit utvecklingsprojekt mer utifrån den egna avdelningens mål och det koncernövergripande perspektivet verkar ha fått stryka på foten till stor del. Det faktum att myndigheten idag har en komplex it-miljö med en spretig arkitektur och där myndigheten har en målbild som ligger långt ifrån dagens lösningar talar även det för att arkitekturstyrningen har varit svag.

3.1.4 Sammanfattande iakttagelser

Av de 63 myndigheter som har besvarat enkäten uppger 42 procent att de saknar tillräckliga förutsättningar för att leva upp till regeringens digitaliseringsstrategi. Vidare har endast 10 procent av myndigheterna tagit fram en fullständig verksamhetsarkitektur. Hälften av myndigheterna saknar stadsplan och målarkitektur och en tredjedel av myndigheterna saknar informationsklassning för åtminstone hälften av sina verksamhetskritiska system. Sammantaget bedömer Riksrevisionen att ett stort antal myndigheter saknar tillräckliga förutsättningar för att kunna skapa en bild av hur it-stödet som helhet ska bidra till kärnverksamhetens måluppfyllelse på bästa sätt.

3.2Processer för att löpande utvärdera it-stödets ändamålsenlighet

Efter att myndigheterna har skaffat sig en bild av hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse krävs det att man utvärderar nuvarande it-stöd mot den bilden. Såväl verksamheten som omvärlden förändras i ett allt snabbare tempo. Myndigheterna måste därför ha en process för att löpande utvärdera it-stödets ändamålsenlighet utifrån kärnverksamhetens behov. Avsnittet beskriver utifrån inhämtad empiri i vilken utsträckning myndigheterna kan anses ha

en sådan process på plats. Avsnittets iakttagelser hänför sig till den andra bedömningsnormen (se avsnitt 1.3).

3.2.1 Systemförvaltning

Den löpande hanteringen av it-systemen sker normalt inom ramen för vad som kallas systemförvaltning. Systemförvaltning är en del av it-styrning men det finns inte heller avseende detta begrepp någon klar och entydig definition på vad begreppet innebär. Några definitioner på vad som utgör systemförvaltning är ”samtliga aktiviteter som görs för att förbereda, styra, administrera och genomföra förändringsarbetet av informationssystem i verksamheten samt stödja användandet” eller ”allt som görs med ett system efter att det tagits

36 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

i produktion”.68 Vad man verkar vara överens om är att nyutveckling av

ett it-system inte innefattas i begreppet systemförvaltning. Det finns flera olika modeller med sin egen teori kring hur man organiserar sin systemförvaltning på bästa sätt varav Pm3, ITIL69 och COBIT70 är de vanligaste. Förvaltning av it-system kan ses ur två perspektiv: traditionell syn på förvaltning eller aktiv förvaltning.

En traditionell syn på it är att system noga bör planeras, köpas in eller byggas inom ramen för ett implementationsprojekt för att slutligen överlämnas till förvaltning. Förvaltning ansvarar för att hålla igång systemet och fixa mindre defekter. Det innebär att man skiljer på införandet av ny funktionalitet från drift och förvaltning.71

Idén bakom aktiv förvaltning är att samma grupp som påbörjar implementation av ett system också ansvarar för underhåll och förvaltning. Man utgår från att systemet kommer vara i ständig förändring och att de som varit med från början är bäst lämpade att ta det vidare.72

Valet av syn på förvaltning skapar över tid två olika miljöer och olika dynamik. Den traditionella modellen leder ofta till en stor investering, följt av en lång tid av uppehåll. När sedan antingen teknik eller krav förändrats tillräckligt tvingas en ny stor investering in. Detta brukar hanteras genom ett nytt projekt med syfte att ersätta det existerande systemet, ofta på en ny plattform eller med ny teknik, samt genom att åtgärda de brister och tillgodose de önskemål som det gamla systemet gett upphov till. Aktiv förvaltning har för avsikt att genom kontinuerlig investering dels löpande tillgodose önskemål om ny funktionalitet, dels åtgärda upptäckta defekter. Detta leder till en mer homogen it-miljö och färre

dyra uppgraderingsprojekt.73

Hur myndigheterna arbetar med sin systemförvaltning är därmed en viktig del av den totala it-styrningen. I enkäten ställde Riksrevisionen därför ett antal frågor kopplade till hur myndigheterna bedriver sin systemförvaltning. Av svaren framgår att 84 procent av myndigheterna arbetar utifrån en beslutad

68https://dfs.se/wp-content/uploads/2016/09/Systemförvaltning-2.0v098.pdf.

69Information Technology Infrastructure Library (ITIL) är en samling principer för hantering av IT-tjänster. Samlingen har sammanställts av brittiska Office of Government Commerce (OGC) och innehåller detaljerade beskrivningar av hur olika IT-relaterade uppgifter kan utföras. Avsikten med principsamlingen är att främja ett dokumenterat, systematiskt tillvägagångssätt när företag och organisationer bygger och utvecklar moderna IT-tjänster.

70COBIT är en förkortning för Control Objective for Information and Related Technology Standards och är en samling av generellt accepterade och applicerbara standarder för främst Informationsteknologi. En motsvarighet för den finansiella kontrollen finns i COSO

71Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 239.

72Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 239.

73Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014, s. 239.

R I K S R E V I S I O N E N 37

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

systemförvaltningsmodell och 72 procent av de myndigheter som har besvarat frågan (54 stycken) uppger att de använder sig av Pm3. Ytterligare cirka 20 procent säger sig använda en egen modell som hämtar inspiration från Pm3 eller

en kombination av Pm3 och ITIL och cirka 6 procent använder eller är på väg att börja tillämpa ett agilt ramverk i form av Scaled Agile Framework (SAFe).

Det mest centrala styrdokumentet inom Pm3 kallas förvaltningsplan.74 Utgångspunkten i Pm3 är att styrning av verksamhetsprocesser och it-system bör ske gemensamt och man delar därför in verksamheten i olika förvaltningsobjekt. Ett förvaltningsobjekt består av både verksamhetskomponenter och it-komponenter. För varje förvaltningsobjekt upprättas normalt en årlig förvaltningsplan som innehåller målen med förvaltningsverksamheten

i förhållande till myndighetens övergripande mål, vilka åtgärder som behöver vidtas för att uppnå målen samt vilken budget som finns att tillgå. Efter verksamhetsåret följs planen upp och man fattar beslut om en ny plan.75

Utifrån den betydelse förvaltningsplanen har ställde Riksrevisionen därför ett antal frågor kring myndigheternas förvaltningsplaner.

Diagram 7 Omfattas verksamhetskritiska it system av en förvaltningsplan eller motsvarande dokument?

Procent 80

70

60

50

40

30

20

10

0

Ja, alla verksamhetskritiska Ja, en majoritet av de Ja, något eller några av de Nej, inget av de
it-system omfattas verksamhetskritiska verksamhetskritiska verksamhetskritiska
  it-systemenm omfattas it-systemen omfattas it-systemen omfattas

I stort sett samtliga myndigheter upprättar förvaltningsplaner eller motsvarande dokumentation och uppdaterar dem även årligen.

74På AB, Pm3 – modellbeskrivning, På AB, 2017, s. 14f.

75På AB, Pm3 – modellbeskrivning, På AB, 2017, s. 18.

38 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3.2.2 Livscykelhantering

En livscykel kan definieras som de förändringar en produkt, en organism eller ett it-system genomgår från födelse till död.76 Inom applikationshantering pratar man om application lifecycle management, det vill säga sammanställning av krav, beställning, installation, utbildning av användare, uppgradering, licenshantering och så småningom avveckling och migrering till andra applikationer.77 Livscykelhantering av ett it-system handlar alltså om hanteringen av ett it-system från det att systemet utvecklas till dess att det avvecklas. Hanteringen kan dokumenteras i en plan som då benämns livscykelplan.78

Skatteverket har sammanfattat livscykelhantering på ett mycket förtjänstfullt sätt i nedanstående bild: 79

Figur 1 Livscykelhantering

Kopplingen till livscykeln för verksamhetsapplikationen

Bilden sammanfattar på ett enkelt sätt ett antal ställningstaganden kring nytta, kostnader, tekniska begränsningar, omvärldsförändringar med mera som löpande måste beaktas för att man ska kunna avgöra var i sin livscykel ett it-system befinner sig. Livscykelhantering är en organisations verktyg för att undvika att it-system tillåts blir föråldrade. Livscykelhantering är en central aspekt i granskningen. För att få en uppfattning om hur myndigheterna arbetar med sin livscykelhantering ställde Riksrevisionen frågor kring vilka perspektiv som ingår i myndigheternas livscykelhantering.

76Jämför exempelvis begreppets betydelse inom biologi https://www.ne.se/uppslagsverk/encyklopedi/lång/livscykel.

77https://it-ord.idg.se/ord/applikationshantering/.

78Riksrevisionen har i granskningen definierat livscykelplan som en långsiktig plan för hur ett it-system ska hanteras från driftsättning fram till tidpunkten då systemet bör avvecklas.

79Skatteverket, Avveckling och livscykelhantering, Skatteverket, 2014, s. 8.

R I K S R E V I S I O N E N 39

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Diagram 8 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs?

Procent

100             Nej, ingår inte
           
90            
           
           
80             Ja, ingår
           
70            
             
60              
             
50              
             
40              
             
30              
             
20              
             
10              
             
0              
  Möjliga/befintliga leverantörer Kompetens hos personalen Trender i omvärlden
   

Diagram 9 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs?

Procent

100               Nej, ingår inte
             
90              
             
             
80               Ja, ingår
             
             
70              
               
               
60                
               
50                
               
40                
               
30                
               
20                
               
10                
               
0                
  Verksamhetens krav i nuläget. Verksamhetens framtida behov. Omvärldens krav Teknik
   

För att man ska kunna ta ställning till om ett it-system tillfredsställer verksamhetens behov på bästa möjliga sätt behövs ett antal referenspunkter. Det rör sig om såväl interna sådana i form av kostnader, verksamhetens behov och tekniska begränsningar, som externa i form av exempelvis krav från omvärlden (lagstiftning eller styrning från regeringen) eller teknisk utveckling. Av svaren framgår att bortsett från teknik så saknas varje enskilt perspektiv

i livscykelhanteringen för mellan 40 och 60 procent av myndigheterna.

40 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3.2.3 It-kostnader

En ytterligare aspekt för att kunna ta ställning till om it-systemen understödjer verksamhetens behov på bästa sätt är vad systemen faktiskt kostar i förhållande till vad de bidrar med. Om man inte vet kostnaderna är det svårt att ta ställning till om nuvarande lösning är den bästa eller inte. En av frågorna i enkäten berörde därför vilka möjligheter myndigheterna har att följa sina it-kostnader.

Enligt de svar som myndigheterna har lämnat anser 61 procent av myndigheterna att man har möjlighet att bryta ner och fördela it-kostnader på en detaljerad nivå. Att kunna bryta ner it-kostnader på en detaljerad nivå har tidigare varit ett stort problem för många myndigheter. I Riksrevisionens granskning av it-outsourcing från 2011 konstaterades att en majoritet av de tillfrågade myndigheterna inte kunde redovisa sina it-kostnader uppdelat på olika delområden av sin it-verksamhet.80 Efter Riksrevisionens granskning har det skett kraftansträngningar för att öka myndigheternas möjligheter att kunna jämföra it-kostnader.81 Ett arbete som bedrivits, där Skatteverket varit en av de ledande myndigheterna, är arbetet med Technology Business Management (TBM).82 Utifrån den diskussion Riksrevisionen förde med Skatteverket kring TBM verkar det ramverket, eller en motsvarande modell, vara en förutsättning för att man på ett mer flexibelt sätt ska kunna bryta ner it-kostnader och fördela om dem baserat på exempelvis kostnad per tjänst. Riksrevisionens uppfattning utifrån den diskussionen är att Skatteverket hade kommit en god bit på vägen i arbetet med TBM, men att myndigheten ännu inte fullt ut hade möjligheter till att bryta ner och fördela om it-kostnader. Skatteverket är tillsammans med några ytterligare myndigheter ledande i arbetet kring TBM och Riksrevisionen ställer sig därmed något tvekande kring myndigheternas svar på i hur stor utsträckning man faktiskt kan bryta ner och fördela it-kostnader på en detaljerad nivå.

3.2.4 Riskanalyser

Såväl verksamhet som omvärld förändras ständigt och det kan i sin tur få konsekvenser för myndigheternas it-system. För att kunna identifiera omständigheter som utgör risk för myndighetens förmåga ska myndigheter som omfattas av förordningen om intern styrning och kontroll genomföra riskanalyser.83 Ett riskbaserat angreppssätt är också grunden i allt

80Riksrevisionen, IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, Riksrevisionen, RiR 2011:4, 2011, s. 34.

81Ekonomistyrningsverket och numera Myndigheten för digital förvaltning har sedan 2014 bedrivit ett regeringsuppdrag kring it-kostnader.

82Se exempelvis Ekonomistyrningsverket, TBM – en vägledning, Ekonomistyrningsverket, ESV 2018:52, 2018.

833 § förordningen (2007:603) om intern styrning och kontroll. För de myndigheter som inte omfattas av förordningen om intern styrning och kontroll gäller enligt 4 § 4 myndighetsförordningen (2007:515) att myndighetens ledning ska säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt.

R I K S R E V I S I O N E N 41

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

informationssäkerhetsarbete. Riksrevisionen ställde därför en fråga om hur myndigheterna arbetar med riskanalyser kopplat till sina verksamhetskritiska system.

Diagram 10 Genomförs återkommande riskanalyser för verksamhetskritiska it-system?

Procent 40

35

30

25

20

15

10

5

0

Ja för samtliga Ja för en majoritet Ja för något eller några Nej inte för något
it-system av it-systemen av it-systemen av it-systemen

Utifrån hur myndigheterna har besvarat frågan framgår att lite över 60 procent av myndigheterna genomför återkommande riskanalyser för en majoritet av sina verksamhetskritiska system. Samtidigt kan man konstatera att lite drygt

en tredjedel av de tillfrågade myndigheterna inte genomför återkommande riskanalyser avseende åtminstone hälften av sina verksamhetskritiska it-system.

3.2.5 Illustrativa exempel från fallstudierna

Både Pensionsmyndigheten och Skatteverket har tillämpat Pm3 som förvaltningsmodell. Utifrån iakttagelserna i fallstudierna verkar dock ingen av myndigheterna egentligen har tillämpat Pm3 på det sätt som modellen är tänkt att fungera. Båda myndigheterna tycks ha minimerat sin förvaltning både resursmässigt och åtgärdsmässigt och det verkar inte vara i förvaltningen de viktiga besluten har fattats. Båda myndigheterna representerar en traditionell syn på förvaltning snarare än en aktiv. Skatteverket genomför en form av övergripande livscykelhantering som främst rör tekniska aspekter men en proaktiv livscykelhantering utifrån verksamhetens behov och omvärldens förändringar verkar inte göras. Vad gäller MomsAG så framgår av Skatteverkets egen förstudie att det inte finns någon roadmap/livscykelplan för systemet. Vad gäller folkbokföringen kom man visserligen kom fram till att systemet inte skulle

42 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

utvecklas mer men där har man mer eller mindre ägnat sig åt ”livsuppehållande åtgärder” i 20 års tid.84

Pensionsmyndigheten har inte haft någon egentlig livscykelhantering vad avser BOTP. Myndigheten har saknat insyn i systemet och har därmed haft små möjligheter att påverka. Samtidigt verkar myndigheten till viss del har accepterat att inte ha insyn. Försäkringskassan tog 2014 fram en modell för att bedöma teknisk skuld och dess påverkan på organisationen. Modellen samlar ett stort antal parametrar som är nödvändiga för att fatta beslut om systemet men verkar inte

i sig själv utgöra ett ställningstagande. Vad gäller BOTP så tycks Försäkringskassan mer har låtit systemet rulla på snarare än att man har fattat ett uttryckligt beslut. Detta trots att man har varit medveten om systemets brister under en längre tid.

3.2.6 Sammanfattande iakttagelser

Nästan alla myndigheter tillämpar en systemförvaltningsmodell. Ett stort antal myndigheter har dock ett väldigt smalt och otillräckligt perspektiv på livscykelhantering. Många har otillräcklig kunskap om it-kostnader och risker för att kunna utvärdera ändamålsenligheten med nuvarande it-stöd. Utifrån myndigheternas svar samt iakttagelserna från avsnitt 2.1 om hur myndigheternas it-miljö ser ut bedömer Riksrevisionen att ett stort antal myndigheter förmodligen tillämpar samma syn på systemförvaltning som Skatteverket och Pensionsmyndigheten. Med en mer traditionell syn blir livscykelhanteringen och den omvärldsbevakning som sker inom hanteringen väldigt begränsad. Sammantaget bedömer Riksrevisionen att ett stort antal myndigheter inte har en process för att löpande kunna utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse.

3.3Medvetna och uttryckliga ställningstaganden kring it-systemen

Till en början kan konstateras att ungefär två tredjedelar av de tillfrågade myndigheterna saknar en beslutad modell för livscykelhantering. Myndigheterna upprättar livscykelplaner för hårdvara (cirka 80 procent) i högre utsträckning än för mjukvara (cirka 60 procent). Riksrevisionen ställde också frågor om förekomsten av såväl som kvaliteten på livscykelplaner för verksamhetskritiska system.

84Se Skatteverket, Förstudierapport 98-systemen, Skatteverket, 2017 eller Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018.

R I K S R E V I S I O N E N 43

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Diagram 11 För hur många av myndighetens verksamhetskritiska it system finns det en livscykelplan/roadmap?

Procent 40

35

30

25

20

15

10

5

0

För samtliga För en majoritet För något Inte för något Vet ej
    eller några system alls  

Diagram 12 Bedömer myndigheten att framtagna livscykelplaner innebär en tillfredsställande livscykelhantering utifrån kärnverksamhetens behov?

Procent 35

30

25

20

15

10

5

0

Ja för samtliga it-system Ja för en majoritet av Ja för något eller några Nej inte för något
som har en livscykelplan de it-system som har av de it-system som har it-system
  en livscykelplan en livscykelplan  

Av svaren framgår att ungefär 40 procent av myndigheterna har tagit fram en livscykelplan för samtliga eller en majoritet av de verksamhetskritiska systemen. Samtidigt saknar ungefär 55 procent av myndigheterna livscykelplaner för åtminstone hälften av sina verksamhetskritiska system. Ungefär 60 procent av myndigheterna bedömer att livscykelhanteringen är otillfredsställande för åtminstone hälften av myndighetens verksamhetskritiska system. Anmärkningsvärt är att nästan 30 procent av myndigheterna anser att

44 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

livscykelplanen inte innebär en tillfredsställande hantering för något verksamhetskritiskt system.

Ett ställningstagande kräver också att det finns ett dokumenterat beslutsunderlag. Riksrevisionen har därför ställt frågor kring vad myndigheterna dokumenterar

i eventuella livscykelplaner. Av svaren framgår att användning, systemberoende och kortsiktiga mål och aktiviteter dokumenteras i ungefär 70 procent av fallen. Historiska kostnader, långsiktiga planer, riskanalyser och systemets hälsa dokumenteras i mycket lägre utsträckning.85

Riksrevisionen har även gått igenom förvaltningsplaner för de båda fallstudiemyndigheterna såväl som för ytterligare sex myndigheter som bifogade förvaltningsplaner tillsammans med övriga strategiska dokument.

I förvaltningsplanerna berörs för vissa myndigheter kortsiktiga mål och planer för it-systemet men det långsiktiga perspektivet saknas i stort sett helt. Förvaltningsplanerna är mer en åtgärdslista över fel som behöver åtgärdas än en bedömning av hur väl systemet uppfyller verksamhetens behov.

3.3.1 Illustrativa exempel från fallstudierna

Vad avser Pensionsmyndigheten så saknas livscykelperspektivet vad gäller BOTP i stort sett helt. Förvaltningsplanerna för BOTP hos Pensionsmyndigheten har inte något egentligt livscykelperspektiv och kan inte ses som något ställningstagande kring systemet. De tjänar som underlag för vilka åtgärder som ska vidtas under året. Vad gäller Skatteverket så finns hänvisningar

i förvaltningsplanerna till livscykelplaner för vissa av systemen. Livscykelplanerna är dock väldigt övergripande i form av just en bedömning var i livscykeln systemet befinner sig. Inriktningen är teknisk och en mer omfattande bedömning kring hur väl systemet uppfyller kärnverksamhetens nuvarande såväl som eventuellt framtida behov saknas. Att verksamhet såväl som it ska ta ett gemensamt ägarskap som inkluderar it-stödet verkar inte ha fungerat tillfredställande, varken hos Pensionsmyndigheten eller Skatteverket. En bredare omvärldsbevakning och

en bedömning av behovet idag såväl som i morgon verkar inte ske. Vad avser båda myndigheterna så är dock Riksrevisionens bedömning att man verkar ha insett behovet av att hela tiden bedöma it-stödet i förhållande till nuvarande och framtida behov. Skatteverket har påbörjat ett arbete med att förändra hela sin arkitektur.

85Historiska kostnader dokumenteras i ungefär 20 procent av fallen, långsiktig plan med mål, aktiviteter och resursbehov i 48 procent av fallen, riskanalys avseende risker kopplade till it-systemet

i 54 procent av fallen och systemets hälsa (övergripande, teknisk och funktionell) i 54 procent av fallen.

R I K S R E V I S I O N E N 45

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

3.3.2 Sammanfattande iakttagelser

Närmare hälften av myndigheterna saknar livscykelplaner för ett stort antal system och två tredjedelar saknar en beslutad modell för livscykelhantering. Dokumentationen kring livscykelhanteringen är begränsad hos många myndigheter. Utifrån de iakttagelser Riksrevisionen har gjort i förvaltningsplanerna hos totalt 8 myndigheter kan inte heller förvaltningsplanerna sägas utgöra ett uttryckligt och medvetet ställningstagande kring föråldrade it-system. Riksrevisionens bedömning är att förvaltningsplanerna hos övriga myndigheter sannolikt inte heller utgör ett sådant ställningstagande.

3.4Konsekvenser av föråldrade it-system

Syftet med granskningen är att undersöka om förekomsten och myndigheternas hantering av föråldrade it-system innebär ett hinder för arbetet med att uppnå en informationssäkrad digitalisering. Riksrevisionen ställde därför i enkäten frågan om eventuella problem med verksamhetskritiska it-system eller problem kopplade till myndighetens totala it-miljö får konsekvenser för myndigheternas fortsatta digitalisering. Av svaren framgår att 46 procent av myndigheterna bedömer att problem antingen i enskilda it-system eller problem med myndighetens totala it-miljö försvårar myndighetens fortsatta digitalisering

i ganska stor eller mycket stor utsträckning. Problemen fördelar sig relativt jämnt mellan att härröra från enskilda system eller från myndigheternas totala it-miljö.

3.4.1 Illustrativa exempel från fallstudierna

På Pensionsmyndigheten har man haft stora problem med sin hantering av bostadstillägg som till stor del kan kopplas till it-systemet. Myndigheten har förmodligen förlorat ett antal år på sin digitaliseringsresa gällande bostadstillägg på grund av att man inte lyckades skapa en uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse eller ta fram processer för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse samt utifrån detta gjort medvetna och uttryckliga ställningstaganden. Samtidigt så är myndigheten relativt nybildad och fick mer eller mindre sina system i knät, vilket innebär att man får ha viss förståelse för att det tar tid. Skatteverket har en total systemmiljö som är framtagen med eftersträvad livscykel på 15–25 år. Det innebär i praktiken att myndighetens it-miljö är en oljetanker, det vill säga att den tar lång tid och är svårt att vända. Att myndigheten inte har lyckats genomföra

en kontinuerlig och bred livscykelhantering kommer att ha stor påverkan på myndighetens fortsatta digitalisering under lång tid.

46 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3.5Övergripande mönster i myndigheternas svar

Utifrån en bedömning av hur stor förekomsten av problem som förknippas med föråldrade it-system är hos myndigheterna har Riksrevisionen delat in myndigheterna i tre kategorier:

inga problem

svårigheter med ett mindre antal system

svårigheter med ett stort antal system.

De två senare kategorierna har även delats upp utifrån om myndigheterna har uppgett att problemen försvårar deras fortsatta digitaliseringsarbete.86 Universiteten (15 stycken) har exkluderats och ingår inte i denna kategorisering, utan redovisas separat.

Tabell 1 Kategorisering av myndigheter.

Antal myndigheter totalt

Inga problem 6
   
Svårigheter med ett mindre antal system – ej digitaliseringspåverkan 11
   
Svårigheter med ett mindre antal system – digitaliseringspåverkan 4
   
Svårigheter med ett stort antal system – ej digitaliseringspåverkan 9
   
Svårigheter med ett stort antal system – digitaliseringspåverkan 19
   
Universitet87 15
   

Riksrevisionen ser att 3188 av 49 myndigheter89, utgör en riskgrupp utifrån att

myndighetens fortsatta digitaliseringsarbete försvåras av problem i enskilda it-system eller av problem i myndighetens totala it-miljö (digitaliseringspåverkan)

majoriteten av de omständigheter som listas i enkäten utgör ett problem för något eller några av myndighetens verksamhetskritiska it-system (svårigheter med ett mindre antal system)

minst en av de omständigheter som listas i enkäten utgör ett problem för en majoritet eller samtliga av myndighetens verksamhetskritiska it-system (svårigheter med ett stort antal system).

86”Digitaliseringspåverkan”/”ej digitaliseringspåverkan”.

87I gruppen ingår totalt 15 universitet. Av dessa kan 1 universitet kategoriseras som inga problem,

9 som svårigheter med ett mindre antal system och 5 som svårigheter med ett stort antal system.

7 av universiteten har svarat att den fortsatta digitaliseringen försvåras av problem i enskilda it-system eller i myndighetens totala it-miljö.

88Riskgruppen består egentligen av 32 myndigheter men en myndighet föll bort i det frågeunderlag som tillsändes regeringskansliet.

89Här är universiteten exkluderade.

R I K S R E V I S I O N E N 47

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

De mönster som presenteras angående samvariationer i avsnittet ska tolkas med stor försiktighet. Hur myndigheternas it-miljö ser ut idag kan beror på ställningstaganden gjorda för 20 år sedan. Avsnittet syftar därmed till att peka på möjliga förklaringar snarare än kausala samband.

3.5.1 It-kostnader

Det går att urskönja ett mönster i att de myndigheter som inte upplever svårigheter har lägre andel it-kostnad i förhållande till total verksamhetskostnad90 än de myndigheter som upplever svårigheter. Med andra ord: Ju högre kvoten är mellan it-kostnad och total verksamhetskostnad desto större svårigheter upplever myndigheten. Det gäller oavsett om man tittar på medelvärdet eller medianen.

I kategorin svårigheter med ett stort antal system – digitaliseringspåverkan återfinns därmed i stort sett samtliga av de största myndigheterna frånsett Arbetsförmedlingen och Polismyndigheten. Dessa två myndigheter bryter trenden avseende samvariationen mellan storlek och omfattning på problem och de har utifrån givna enkätsvar en väsentligt mycket mer gynnsam situation än myndigheter av motsvarande storlek. Det blir ännu mer anmärkningsvärt i ljuset av att båda myndigheterna har uttryckt stora problem med sin it-miljö och teknisk skuld i strategiska styrdokument tidigare.

Myndigheter som uppgett att de inte har några problem har i högre utsträckning en modell för att bryta ner it-kostnader91 jämfört med de myndigheter som uppgett att det finns omständigheter som utgör problem för myndighetens verksamhetskritiska it-system.92 En modell saknas oftare för de myndigheter som anger att myndighetens fortsatta digitaliseringsarbete försvåras av problem

i enskilda it-system eller av problem i myndighetens totala it-miljö93 jämfört med de som inte har några problem94 eller de som upplever svårigheter men där det inte påverkar det fortsatta digitaliseringsarbetet.95

90Verksamhetens kostnader, inklusive avskrivningar.

91Andelen är 83 procent för myndigheterna i kategorin inga problem.

92Andelen är 53 procent för myndigheterna i kategorin svårigheter med ett mindre antal system och 61 procent för myndigheter i kategorin svårigheter med ett stort antal system.

93En modell saknas i 50 procent av fallen.

94En modell saknas i 17 procent av fallen.

95En modell saknas i 30 procent av fallen.

48 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

3.5.2 Komplex it-miljö och spretig arkitektur

Ett annat mönster som kan utläsas ur enkätsvaren rör it-miljö och arkitektur.

Diagram 13 Svårigheter utifrån kategori.

Andel som anser att integration är svårt/problematisk

Andel som anser

att arkitekturen är spretig

Andel som anser

att miljön är komplex

Andel som bedömer

att man inte har förutsättningar

0 20 40 60 80 100
Universitet     Svårigheter med ett större antal system Procent
     
     
Svårigheter med ett mindre antal system   Ej problem      
       
       

Av svaren på enkäten framgår att universiteten och myndigheter i kategorin svårigheter med ett stort antal system är de som i högre utsträckning anser att man har en komplex it-miljö med spretig arkitektur och att integration är svårt/problematiskt. I kategorin svårigheter med ett stort antal system återfinns i stort sett alla av de största myndigheterna som dessutom har en hög andel it i förhållande till den totala verksamheten. Ju mer omfattande it-miljö en myndighet har att hantera desto svårare blir det förmodligen med avseende på arkitektur, homogenitet i systemmiljön samt integration. Det som dock skiljer ut universiteteten är att även om man verksamhetsmässigt någorlunda matchar de största myndigheterna så har man en mycket mindre it-verksamhet i jämförelse. Man avviker även avseende bedömningen om man anser sig ha tillräckliga förutsättningar jämfört med kategorin svårigheter med ett stort antal system, då endast 20 procent av universiteten säger sig sakna tillräckliga förutsättningar.

I kategorin inga problem har hälften av myndigheterna svarat att man inte anser sig ha tillräckliga förutsättningar, vilket vid en första anblick kan te sig märkligt. I kategorin ingår dock endast 6 myndigheter och för två av de tre myndigheterna som säger sig sakna förutsättningar anges omständigheter utanför myndighetens kontroll som förklaring.

R I K S R E V I S I O N E N 49

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

3.5.3 Livscykelhantering

Nästa mönster som kan utläsas ur enkätsvaren rör livscykelhantering.

Diagram 14 Livscykelhantering utifrån kategori.

Andel som inte gör livscykelplaner för

mjukvara

Andel som inte gör livscykelplaner för

hårdvara

Andel som bedömer att

livscykelplaner ej är tillfredsställande

för ett stort antal system

Andel där det fattas livscykelplan i

stor utsträckning

0 20 40 60 80
Universitet     Svårigheter med ett större antal system Procent
     
     
Svårigheter med ett mindre antal system   Ej problem    
     
     

De myndigheter som uppger att man inte har några problem gör i högre utsträckning än övriga kategorier livscykelplaner och livscykelhantering. Livscykelhanteringen är också enligt svaren mest bristfällig hos de myndigheter som har störst problem.

3.5.4 Stadsplan, målarkitektur och arkitekturstyrning

Ett ytterligare mönster som kan utläsas av enkätsvaren berör de verktyg som myndigheterna behöver för att skapa sig en bild av hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse.

Diagram 15 Målarkitektur, stadsplan och arkitekturstyrning utifrån kategori.

Andel som saknar

målarkitektur

Andel som saknar

stadsplan

Andel som inte använder

arkitekturstyrning

0 10 20 30 40 50 60 70 80
Universitet       Svårigheter med ett större antal system   Procent
         
         
Svårigheter med ett mindre antal system   Ej problem        
         
         

50 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Vad avser målarkitektur, stadsplan och arkitekturstyrning är det svårt att se några tydliga mönster bara genom att jämföra svaren mellan de olika kategorierna. Vad gäller målarkitektur är frånvaron av en sådan på ungefär samma nivå i alla kategorier. Kategorien myndigheter som inte har problem sticker ut på så sätt att fler myndigheter säger sig ha en stadsplan och samtliga myndigheter säger sig tillämpa arkitekturstyrning.

3.5.5 Informationsklassning och riskanalyser

Ett sista mönster som kan utläsas ur enkätsvaren rör informationsklassning och riskanalyser.

Diagram 16 Informationsklassning och riskanalyser per kategori.

Andel som inte

genomför

återkommande riskanalys för en majoritet av sina system

Andel som inte gjort informationsklassning för en majoritet

av sina system

0 10 20 30 40 50 60
Universitet   Svårigheter med     Svårigheter med     Ej problem Procent
         
         
    ett större antal system     ett mindre antal system        

Av svaren framgår att hälften av myndigheterna i kategorin inga problem har genomfört informationsklassning för mindre än hälften av sina verksamhetskritiska system. Motsvarande gäller även avseende att genomföra återkommande riskanalyser. Om myndigheterna inte har genomfört dessa åtgärder är det svårt att veta om it-systemen faktiskt är ändamålsenliga utifrån kärnverksamhetens behov.

R I K S R E V I S I O N E N 51

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

4 Regeringens styrning

Avsnittet beskriver regeringens styrning och vidtagna åtgärder, både på ett mer övergripande plan avseende digitalisering och utifrån vilka åtgärder man vidtagit specifikt kopplat till föråldrade it-system.

4.1Övergripande åtgärder för digitalisering

Regeringen har vidtagit ett antal åtgärder kopplat till digitalisering. Man har nyligen inrättat Myndigheten för digital förvaltning (DIGG) som en generell åtgärd för att förbättra styrningen och samordningen samt uppföljningen av den offentliga förvaltningens digitalisering. Regeringen har också tillsatt

en expertgrupp för digitala investeringar96 för att bistå utvalda myndigheter i deras strategiska it-investeringar och bygga en bättre förståelse för de utmaningar som den offentliga förvaltningen står inför vid sådana större projekt. Regeringen har lämnat ett uppdrag till Ekonomistyrningsverket97 att följa de statliga myndigheternas användning av it och hur myndigheten tar tillvara digitaliseringens möjligheter.98 Syftet med uppdraget har varit att få en bättre förståelse för myndigheternas it- och digitaliseringsmognad och kunna följa upp hur strategiskt och strukturerat myndigheterna arbetar med frågorna.

Man har vidare gett uppdrag till Bolagsverket, Lantmäteriet, Skatteverket och Myndigheten för digital förvaltning99 om att lämna förslag som syftar till att skapa en säker och effektiv tillgång till grunddata, genom att bland annat tydliggöra ansvaret för grunddata och öka standardiseringen samt lämnat uppdrag till Bolagsverket, Domstolsverket, E-hälsomyndigheten, Försäkringskassan, Lantmäteriet, Skatteverket och Myndigheten för digital förvaltning100 om att lämna förslag som syftar till att skapa ökad säkerhet och effektivitet i samband med elektroniska informationsutbyten inom och med den offentliga sektorn. Regeringskansliet har uppgett att en ökad styrning av sättet på vilket myndigheterna utbyter data mellan system får en stark indirekt påverkan på föråldrade it-system som måste anpassas för att kunna hantera de krav som ställs på informationsutbyte inom den offentliga förvaltningen.101

Regeringskansliet har också genomfört interna kompetenshöjande aktiviteter för att förbättra medarbetarnas kunskap om it och digitalisering generellt.

96Numera en del av Myndigheten för digital förvaltnings uppdrag (dir. 2017:62 samt tilläggsdirektiv 2017:118). Se 13 § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning.

97N2016/01642/EF

98Numera en del av Myndigheten för digital förvaltnings uppgifter.

99Fi 2018/03036/DF

100Fi2018/03037/DF

101Svar från Regeringskansliet 2019-07-14.

52 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Aktiviteterna har även syftat till att öka kännedomen om stöd för uppföljning och dialog med myndigheterna vad gäller myndigheternas it och digitalisering.

4.2Regeringens kunskap om problembilden och eventuellt vidtagna åtgärder

Avsnittet beskriver svaren på det frågeformulär rörande de

64 enkätmyndigheterna som Regeringskansliet har lämnat till Riksrevisionen, samt svaren från enkäten där myndigheterna fick ange om man hade haft någon dialog med ansvarigt departement kring frågor som rör problem med verksamhetskritiska it-system.

4.2.1 Kunskap om förekomsten av föråldrade it-system

Vad gäller de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp har departementen endast kunskap om att det finns föråldrade it-system hos hälften

(15)av dessa. Samtliga av de myndigheter som med departementens vetskap har föråldrade it-system är myndigheter som kategoriserats i ”svårigheter med ett stort antal system”. 12 av dessa är myndigheter som uppgett att deras fortsatta digitaliseringsarbete försvåras av problem i enskilda it-system eller problem

i myndighetens totala it-miljö (digitaliseringspåverkan) och resterande

3 myndigheters digitaliseringsarbete försvåras inte (ej digitaliseringspåverkan).

Omvänt så innebär det att för 17 av myndigheterna i riskgruppen har departementen inte kunskap om att det finns föråldrade it-system. Av dessa har tolv myndigheter kategoriserats i ”svårigheter med ett stort antal system”, varav sju myndigheter har uppgett att deras fortsatta digitaliseringsarbete försvåras av problem i enskilda it-system eller problem i myndighetens totala it-miljö (digitaliseringspåverkan).

4.2.2 Kunskap om konsekvenserna av föråldrade it-system

Det finns enbart för fyra av de 31 myndigheterna i riskgruppen detaljerad kunskap om vilka konsekvenser förekomsten av utdaterade it-system får för myndighetens fortsatta digitalisering eller för möjligheten att upprätthålla en nödvändig nivå av informationssäkerhet. För tio av de 31 myndigheterna finns övergripande kunskap om konsekvenser.102

Vad gäller de 23 myndigheter som uppgett att deras fortsatta digitaliseringsarbete försvåras av problem i enskilda it-system eller problem i myndighetens totala it-miljö (digitaliseringspåverkan) har departementen endast i tre fall uppgett att de känner till vilka detaljerade konsekvenser förekomsten av utdaterade it-system får

102Departementen har inte besvarat denna fråga för 16 av myndigheterna; det hänger ihop med att de uppgett att de inte sett att det finns föråldrade it-system hos dessa.

R I K S R E V I S I O N E N 53

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

för myndighetens fortsatta digitalisering eller för möjligheten att upprätthålla en nödvändig nivå av informationssäkerhet. För nio av myndigheterna finns övergripande kunskap om konsekvenser.103

4.2.3 Dialog mellan regeringen och myndigheterna

21 av de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp uppger att de haft en dialog med ansvarigt departement kring frågor som rör problem med verksamhetskritiska it-system i myndighetens kärnverksamhet. Det är nästan uteslutande myndigheterna med mest problem som uppger att de har haft

en dialog. Departementen har svarat att 13 av de 31 myndigheterna i riskgruppen på eget initiativ tagit upp problem kopplade till utdaterade it-system i sina kontakter med departementet. I samtliga fall har det rört myndigheter som kategoriserats i gruppen ”svårigheter med ett stort antal system”.

Departementen och myndigheterna har en samsyn i frågan om att de haft en dialog i 18 av fallen, och i samtliga fall handlar det om myndigheter med svårigheter med ett stort antal system och som har digitaliseringspåverkan.104

I 12 fall har departementen och myndigheterna olika syn på om de haft en dialog eller inte, och i samtliga fall utom 1 handlar det om myndigheter som är

i kategorin ”svårigheter med ett stort antal system”.105

Departementen har efterfrågat specifik information kring föråldrade it-system och problem kopplade till dessa från åtta av de 31 myndigheterna. I samtliga fall har det rört myndigheter som kategoriserats i gruppen ”svårigheter med ett stort antal system”. För 19 av myndigheterna har departementen inte efterfrågat information specifikt om utdaterade it-system men däremot generellt om it-system.106 I sex fall har varken myndigheten eller departementet tagit upp frågan, trots att det i fyra av dessa fall har rör sig om myndigheter med omfattande problem.

Enbart i ett av fallen (Transportstyrelsen) har dialogen mellan myndigheterna och departementen om frågor som rör föråldrade it-system dokumenterats.107

4.2.4 Undanröja eller reducera problemen

Departementen har enbart för 1 av de 31 myndigheterna i riskgruppen (Transportstyrelsen), i de fall de fått information kring problem kopplade till föråldrade it-system, säkerställt att problemen har undanröjts eller reducerats

103Departementen har inte besvarat denna fråga för 10 av myndigheterna. Det hänger ihop med att de uppgett att de inte sett att det finns föråldrade it-system hos dessa, men samtidigt bör det noteras att 7 av dessa återfinns i kategorin ”svårigheter med ett stort antal system – digitaliseringspåverkan”.

104I 11 av fallen har både departementet och myndigheten uppgett att man har haft en dialog. I 7 har både departementet och myndigheten uppgett att man inte har haft någon dialog.

105I två fall har myndigheterna inte besvarat frågan.

106För 3 av myndigheterna har frågan inte besvarats eller så har det inte varit aktuellt att efterfråga sådan information.

107I 24 fall finns ingen dokumentation och i 5 fall har frågan inte besvarats.

54 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

i största möjliga mån. För 19 av myndigheterna uppges att departementen haft en löpande dialog med myndigheten. I tio fall har frågan inte besvarats, detta trots att departementet för tre av myndigheterna angivit att det finns utdaterade it-system hos myndigheterna och att dessa har kategoriserats i gruppen svårigheter med ett stort antal system.

4.2.5 Universiteten

Vad gäller de 15 universiteten har departementet inte i något fall uppgett att de har kunskap om att det finns föråldrade it-system hos dessa. Detta trots att 8 av universiteten uppgett att majoriteten av de omständigheter som listas i enkäten utgör ett problem för något eller några av myndighetens verksamhetskritiska it-system (svårigheter med ett mindre antal system) och fem av universiteten uppgett att minst en av de omständigheter som listas i enkäten utgör ett problem för en majoritet eller samtliga av myndighetens verksamhetskritiska it-system (svårigheter med ett stort antal system). Departementet har heller inte efterfrågat specifik information kring föråldrade it-system och problem kopplade till dessa från något av universiteten, däremot har de efterfrågat information generellt om it-system från samtliga.108 Det finns inte heller för något universitet någon dokumenterad dialog mellan myndigheterna och departementen om frågor som rör föråldrade it-system.

108Departementen har inte för något av universiteten besvarat frågan om huruvida de har kunskap om vilka konsekvenser förekomsten av utdaterade it-system får för myndighetens fortsatta digitalisering eller för möjligheten att upprätthålla en nödvändig nivå av informationssäkerhet. Man har heller inte för något universitet besvarat frågan om man har säkerställt att problemen har undanröjts eller reducerats. Det hänger ihop med att de uppgett att de inte sett att det finns föråldrade it-system hos dessa.

R I K S R E V I S I O N E N 55

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

5 Slutsatser och rekommendationer

Kapitlet beskriver de slutsatser Riksrevisionen har dragit utifrån den empiri som presenteras i avsnitt två, tre och fyra. Kapitlet är indelat i fyra avsnitt. Först berörs frågan om förekomsten av föråldrade it-system i statsförvaltningen och problem förknippade med dem.

Därefter följer ett avsnitt som behandlar den första revisionsfrågan om huruvida myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system. Avsnittet är i sin tur uppdelat i tre delar där varje del behandlar iakttagelserna utifrån de tre första bedömningsnormerna.

Sedan följer att avsnitt som behandlar den andra revisionsfrågan om huruvida regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system. Avsnittet är uppdelat i två delar där den första behandlar regeringens kunskap och den andra regeringens åtgärder.

Sist kommer ett avsnitt som behandlar Riksrevisionens rekommendationer.

5.1Förekomsten av föråldrade it-system

Granskningen visar att det finns föråldrade it-system hos ett stort antal myndigheter. Hos många myndigheter är det dessutom ett flertal av de verksamhetskritiska it-systemen som är föråldrade. Såvitt Riksrevisionen kan utröna är detta ny kunskap. Det har således inte funnits någon bred bild av problemet med föråldrade it-system i förvaltningen. Ett föråldrat it-system kräver ofta ökande resurser bara för att vidmakthållas. Digitaliseringen går fort och nya it-system utvecklas och blir ständigt mer effektiva. Det finns alltså stor risk för att föråldrade it-system innebär bristande hushållning med statens medel. Dessutom är föråldrade it-system vanligen förknippade med risker för bristande informationssäkerhet.

Det faktum att föråldrade it-system kräver mycket resurser innebär

en undanträngning av myndighetens innovationsförmåga. Det blir färre resurser över till att ta till sig ny digital teknik och att utveckla och anamma nya och mer effektiva it-system. Många föråldrade system gör det också svårt eller omöjligt att, baserat på det befintliga systemet, utveckla nya tjänster eller funktionalitet eller att förändra och utveckla befintliga verksamhetsprocesser. Därmed påverkar it-systemen också myndigheternas verksamhetsutveckling. Närmare hälften av myndigheterna109 uppger att myndighetens fortsatta digitaliseringsarbete i ganska eller mycket stor utsträckning försvåras av problem i enskilda it-system eller av it-miljön i stort.

10946 procent.

56 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Föråldrade it-system innebär dock inte bara en risk för den enskilda myndigheten. Med den utveckling som sker i dagens samhälle ökar behovet av informationsutbyte och kopplingar mellan myndigheter, mellan myndigheter och privata aktörer och mellan myndigheter och enskilda medborgare. Ett föråldrat it-system och problem med det enskilda systemet hos en myndighet kan därmed innebär stora konsekvenser för möjligheterna att bedriva verksamheten hos en annan myndighet eller privat aktör.

It-kostnaderna för de myndigheter som är föremål för Riksrevisionens granskning är ungefär 19 miljarder. Den bristande effektiviteten som kan kopplas till föråldrade it-system är därmed väsentlig även ur ett budgetperspektiv. Vidare svarar ungefär 80 procent av myndigheterna att man har svårigheter att upprätthålla eftersträvad nivå av informationssäkerhet för något eller några verksamhetskritiska system och 12 procent svarar att det är ett problem för samtliga eller en majoritet av de verksamhetskritiska systemen. Föråldrade it-system innebär därmed även en väsentlig risk ur

ett informationssäkerhetsperspektiv.

Riksrevisionens slutsats är sammantaget att problemet med föråldrade it-system är så allvarligt och utbrett att det innebär ett hinder för en fortsatt effektiv digitalisering av statsförvaltningen.

5.2Myndigheternas åtgärder

Riksrevisionens övergripande slutsats är att ett flertal myndigheter inte har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system. Myndigheternas svar på Riksrevisionens frågor visar att det förekommer föråldrade system hos en övervägande majoritet av myndigheterna. För många myndigheter rör det sig heller inte om enstaka system utan i stället ett flertal. Myndigheterna har därmed inte lyckats förebygga att it-systemen blir föråldrade.

Riksrevisionen är medveten om att verksamhetsutveckling som rör föråldrade it-system är komplext och svårt. Det saknas dock inte arbetssätt eller verktyg för verktygsutveckling som kan göra arbetet mer effektivt. Riksrevisionen har därför undersökt om myndigheterna använder de medel som står till buds. Överlag visar granskningen att myndigheterna inte arbetar med de verktyg som finns.

Avsaknaden av livscykelplaner tyder vidare på att myndigheterna inte på

ett strukturerat och systematiskt sätt har fattat medvetna och uttryckliga beslut om hur problemen med system som blivit föråldrade ska reduceras eller undanröjas.

5.2.1Myndigheternas uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse

En första utgångspunkt i Riksrevisionens bedömning av om myndigheterna gjort tillräckligt är att de bör ha en uppfattning om vilka mål verksamheten ska uppnå,

R I K S R E V I S I O N E N 57

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

bör ha organiserat sig för att uppnå de målen och till slut avsatt resurser som för arbetet för att uppnå målen. Riksrevisionen menar att man bara kan sägas bedriva systemutveckling och systemförvaltning på ett strukturerat och systematiskt sätt om man faktiskt har möjlighet att bedöma hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse. För att kunna göra det krävs att man har eller använder vissa verktyg för verksamhetsutveckling.

Utifrån iakttagelserna i kapitel 2 drar Riksrevisionen slutsatsen att en stor del av de undersökta myndigheterna inte har eller använder de verktyg som behövs. Det innebär i sin tur man får svårigheter att analysera och förstå hur förändringar påverkar verksamhetens mål och det blir därmed också svårare att definiera

ett framtida önskvärt läge.

Det kan noteras att ungefär 70 procent av myndigheterna svarar att it-miljön är komplex på grund av ett stort antal heterogena system. Mer än hälften har

en arkitektur som strävar i flera olika riktningar till förfång för helheten (spretig arkitektur). I en heterogen it-miljö där myndigheterna tvingas prioritera enskilda projekt kan det vara svårt att se helheten och förmå analysera för och nackdelar med den rådande it-arkitekturen i sin helhet. Vinsten med en homogen it-miljö hämtas sällan hem i enskilda projekt, utan ger mer svåranalyserade effektivitetsförbättringar för it-miljön i stort. Det kan därför vara svårt att i enskilda projekt peka på vinsterna med följsamhet mot en övergripande målarkitektur. Om en målarkitektur inte alls finns blir det omöjligt. Riksrevisionen bedömer att frånvaron av målarkitektur och arkitekturstyrning är en av flera bakomliggande förklaringar till att många myndigheter idag har it-system som kan anses vara föråldrade utifrån verksamhetens behov. En arkitekturstyrning utifrån

en målarkitektur är därmed centralt för att vidmakthålla och utveckla en it-miljö som effektivt stödjer verksamhetens behov. Behovet av målarkitektur och arkitekturstyrning accentueras med storleken på myndighetens totala it-miljö.

De iakttagelser Riksrevisionen har gjort kring myndigheternas bristande arbete med digitaliseringsstrategier kan även de vara en förklaring till att många myndigheter brottas med en it-miljö bestående av föråldrade it-system i varierande omfattning. En sådan strategi anger en riktning för vad myndigheten totalt sett vill uppnå med sin digitalisering. Det ger därmed en riktlinje som varje enskilt projekt som rör it-utveckling eller förvaltning i någon utsträckning behöver förhålla sig till. Omvänt blir det utan en strategi svårt att åstadkomma en effektivt fungerande helhet.

5.2.2Myndigheternas processer för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse

En andra utgångspunkt för ett effektivt arbete är att myndigheten måste ha processer för att löpande utvärdera hur väl it-stödet bidrar till att uppnå kärnverksamhetens mål. Utifrån granskningens iakttagelser drar Riksrevisionen

58 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

slutsatsen att en stor del av de undersökta myndigheterna inte har sådana processer.

Riksrevisionen kan konstatera att i stort sett samtliga myndigheter har

en fastställd förvaltningsmodell och att en övervägande del använder Pm3. Det räcker dock inte med att ha en förvaltningsmodell, den måste tillämpas på rätt sätt också. Pm3 kan tjäna som illustrativt exempel. Tanken är att Pm3 ska vara

en struktur där utveckling och förvaltning styrs gemensamt av kärnverksamheten och it-verksamheten, utifrån organisationens övergripande behov. Undersökningen av de två fallstudiemyndigheterna tyder på att fallstudiemyndigheterna inte använder pm3 som det är tänkt. Man verkar ha haft ett traditionellt statiskt synsätt där ett it-system köps in/utvecklas, för att sedan lämnas över för it-förvaltning. Denna genomför mer eller mindre endast

ett löpande underhåll för att upprätthålla funktionalitet fram till dessa att systemet ersätts. Detta avviker från idealet där man snarare ska utgå ifrån att it-systemet är i ständig förändring. Enligt den modellen med ”aktiv förvaltning” ska kontinuerliga investeringar tillgodose verksamhetens önskemål om ny funktionalitet, och också åtgärda defekter. Om man inte bedriver en aktiv förvaltning är man förmodligen mer benägen att fokusera på att systemet behåller sin ursprungliga funktionalitet än på att utvärdera om systemet behöver anpassas till en föränderlig verklighet. Om organisationen inte har lyckats skapa en nära samverkan och förståelse mellan kärnverksamhet och it-avdelning och kärnverksamheten inte heller uttrycker önskemål om förändringar blir konsekvensen att it-systemet förblir oförändrat så länge det uppfyller vad det ursprungligen var tänkt att göra. Det får i sin tur en konserverande effekt på verksamhetsutvecklingen i stort.

Riksrevisionens bedömning är att en sådan dynamik förmodligen är vanligt även hos de myndigheter som ingår i granskningen. Den slutsatsen stärks av de svar myndigheterna har lämnat kring hur man bedriver livscykelhantering. De perspektiv Riksrevisionen anser vara rimliga att löpande ta hänsyn till och göra bedömningar mot i sin livscykelhantering saknas i livscykelhanteringen för mellan 40 till 60 procent av myndigheterna. Det enda perspektivet som

en övervägande majoritet av myndigheterna beaktar är det rent tekniska. Utifrån frågorna kring vad myndigheterna dokumenterar i sina livscykelplaner stärks slutsatsen ytterligare.

Lite drygt en tredjedel av myndigheterna genomför återkommande riskanalyser endast för något eller några verksamhetskritiska system eller inga alls. Motsvarande andel myndigheter saknar möjlighet att bryta ner it-kostnader på en detaljerad nivå. Utan återkommande riskanalyser och detaljerade uppgifter om kostnaderna är det svårt att göra verkningsfulla utvärderingar av it-stödets ändamålsenlighet. Det innebär i sin tur förmodligen att myndigheterna inte hushållar med statens medel på bästa sätt.

R I K S R E V I S I O N E N 59

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

5.2.3 Myndigheternas ställningstaganden kring sina it-system

Den tredje och sista utgångspunkten är att myndigheten utifrån sin utvärdering av hur väl it-stödet bidrar till att uppfylla kärnverksamhetens mål gör medvetna och uttryckliga ställningstaganden kring om myndigheten behöver vidta åtgärder för att förändra it-stödet och i så fall vilka. Utifrån iakttagelserna i granskningen drar Riksrevisionen slutsatsen att en stor del av de undersökta myndigheterna inte gör sådana ställningstaganden.

Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något eller några verksamhetskritiska system, samtidigt som ungefär 60 procent av myndigheterna bedömer att framtagna livscykelplaner innebär

en tillfredsställande livscykelhantering utifrån kärnverksamhetens behov endast för något, några eller inget av de verksamhetskritiska systemen.

Nästan alla myndigheter använder sig av årliga förvaltningsplaner eller motsvarande dokument men dessa planer har normalt sett just ett årligt perspektiv, och det saknas livscykelplaner och underlag för livscykelplanerna

i form av utvärderingar av systemets ändamålsenlighet utifrån kärnverksamhetens behov. Riksrevisionen upplever att det finns ett glapp mellan systemförvaltning och nyutveckling av it-system. Dokumentationen i förvaltningen är i huvudsak en ögonblicksbild och har ett ettårigt perspektiv, mer inriktat på underhåll och projektdirektiv vid nyutveckling än mer framåtblickande. En löpande dokumentation i utvärderande form som koppling mellan förvaltningsplaner och förstudier inför beslut om eventuell nyutveckling verkar dock enligt Riksrevisionen saknas. Avsaknaden av livscykelplaner med tillhörande underlag hos en stor skara myndigheter i kombination med vad Riksrevisionen bedömer som brister i den livscykelhantering som faktiskt görs innebär enligt Riksrevisionen att myndigheterna överlag inte kan anses ha gjort medvetna och uttryckliga ställningstaganden kring sina it-system. Denna problematik illustreras också av fallstudierna som visar att myndigheterna är någorlunda medvetna om bristerna och att något egentligen skulle behöver göras, men att det är först när någon helt tvingande omständighet (exempelvis när en leverantör slutar lämna support för en viss applikation) inträffar som man verkligen vidtar åtgärder. Systemen får utan effektiv livscykelhantering fortsätta vara i drift utan att det finns ett tillräckligt underlag som visar om fördelarna överstiger nackdelarna eller inte.

5.3Regeringens åtgärder

Riksrevisionens bedömning är att Regeringen har vidtagit en del övergripande åtgärder kring digitalisering i stort, som indirekt kan ha positiva effekter på frågan om föråldrade it-system. Arbetet med att kravställa och utforma en övergripande arkitektur för informationsutbyte mellan aktörer i samhället är en sådan åtgärd. Bildandet av DIGG och uppdragen kring myndigheternas it-kostnader och digitala mognad är andra. Vad gäller frågan om huruvida åtgärder har riktats mer specifikt

60 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

mot föråldrade it-system så kan Riksrevisionen inte hitta några sådana. Frånvaron av mer direkta åtgärder mot föråldrade it-system i kombination med regeringens bristande kunskap kring förekomsten och konsekvenserna av föråldrade it-system innebär enligt Riksrevisionen att regeringen inte kan anses ha vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system.

5.3.1Regeringens kunskap om omfattning, orsaker och konsekvenser

Utifrån svaren på det frågeformulär som Riksrevisionen skickat till Regeringskansliet kan konstateras att de ansvariga departementen och därmed även regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna av föråldrade it-system. Regeringskansliet uppger sig ha kunskap om förekomsten av föråldrade it-system i 15 av de 31 fall som Riksrevisionen har klassificerat som utgörande en riskgrupp. Bortsett från fyra fall har Regeringskansliet lämnat så övergripande svar att det inte framgår att de vet vilka konsekvenserna är. Av svaren kan man vidare dra slutsatsen att departementen efterfrågar generell information om it och digitalisering, men i väldigt liten utsträckning mer specifik information. Regeringskansliet förväntar sig i stället att myndigheterna självmant tar upp eventuella problem. Det ligger i sakens natur att myndigheterna inte kommer att ta upp problem de själva inte inser att de har. Det är dock svårt att bedöma det mer exakta innehållet i dialogerna. Den enda dialog som har dokumenterats var den med Transportstyrelsen. Vad avser frågan om huruvida regeringen har säkerställt att problemen har undanröjts eller reducerats i största möjliga mån har Regeringskansliet uppgett att så har skett i ett fall (Transportstyrelsen). Variationen i hur mycket kunskap departementen har om föråldrade it-system och konsekvenserna av förekomsten på sina respektive myndigheter tyder enligt Riksrevisionen på att det inte finns något strukturerat sätt eller någon metod för att närma sig frågorna i dialogen mellan departement och myndighet.

Vid en jämförelse mellan de svar som myndigheterna har lämnat kring eventuell dialog och de svar Regeringskansliet har lämnat framgår att myndigheterna och Regeringskansliet har olika uppfattning om huruvida dialog har förekommit eller inte för ett antal myndigheter. Avsaknaden av dokumentation omöjliggör dock att vidare undersöka vad skillnader i uppfattning kring vilken dialog som har förts kan bero på. Det är även uppenbart att det finns ett antal fall där myndigheterna inte verkar ha tagit upp frågan på eget initiativ och där departementet inte heller har efterfrågat information. Riksrevisionens slutsats är därmed att den dialog som har genomförts inte har varit ändamålsenlig för att fånga upp problemen med föråldrade it-system.

R I K S R E V I S I O N E N 61

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

5.3.2Regeringens åtgärder för att säkerställa att problemen undanröjs

Företrädare för Regeringskansliet har vid samtal med Riksrevisionen påtalat att regeringen inte utövar styrning av myndigheterna på ett sätt som innebär att man talar om för myndigheterna hur de ska utforma sin it-miljö eller vilka it-system de ska välja. Regeringen har i stället fokuserat på att styra övergripande frågor som exempelvis arkitektur och villkor för informationsutbyte, som i förlängningen kan ha styrande effekt även på enskilda it-system.

Den svenska förvaltningsmodellen bygger på att myndigheterna i stor utsträckning lämnas att utforma sin verksamhet under eget ansvar. Ansvaret att se till att it-system inte blir föråldrade eller att se till att undanröja eller reducera de effekter som föråldrade it-system får ligger därmed på varje myndighet. Riksrevisionen konstaterar samtidigt att närmare hälften av myndigheterna uppger att problem i enskilda it-system eller it-miljön i stort har ganska eller mycket stor påverkan på det fortsatta digitaliseringsarbetet. Granskningen visar att föråldrade it-system är ett utbrett problem som har stor påverkan, inte bara på den enskilda myndigheten utan också förvaltningsövergripande. Flera aktörer har tidigare påpekat att digitalisering kräver en förändrad styrning från regeringens sida.110 Expertgruppen för digitala investeringar har bland annat anfört att man upplever att ”regeringens styrning av de enskilda myndigheterna kan utvecklas för att bidra till att regeringens övergripande mål inom digitaliseringspolitiken ska kunna nås”111 och ”om målet om att Sverige ska bli bäst i världen på att använda digitaliseringens möjligheter ska nås behöver regeringen bli bäst på att främja och stötta en sådan utveckling”.112

Utifrån de iakttagelser Riksrevisionen har gjort under granskningen verkar regeringen vara omedveten om den aggregerade risk som föråldrade it-system utgör för statsförvaltningen som helhet. Utifrån regeringens bristande kunskap om risken och i ljuset av riksdagens och regeringens ambitiösa mål om att vara bäst i världen på att utnyttja digitaliseringens möjligheter anser Riksrevisionen att det är ofrånkomligt att regeringen måste säkerställa att man åtminstone på en aggregerad nivå skaffar sig kunskap kring myndigheternas förutsättningar och vilken påverkan myndigheternas situation får på det fortsatta digitaliseringsarbetet. Utan sådan kunskap försvåras avsevärt regeringens reella möjligheter att styra, även på en övergripande nivå. Regeringskansliets svar på Riksrevisionens frågeformulär visar även att ansvariga departement endast i ett fall har säkerställt att problemen har undanröjts eller reducerats. Riksrevisionen har heller inte kunnat finna några andra åtgärder riktade direkt mot problemen

110Se exempelvis Digitaliseringsrådet i rapporten En lägesbild för digital kompetens eller Innovationsrådet i Tänka nytt för att skapa värde – Om perspektivskiften i offentlig verksamhet. SOU 2013:40.

111SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 153.

112SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 152.

62 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

förknippade med föråldrade it-system, även om vissa åtgärder indirekt kan ha påverkan. Riksrevisionens bedömning är därmed att regeringen inte kan anses ha vidtagit tillräckliga åtgärder för att säkerställa att problemen reducerats eller undanröjts.

5.4Riksrevisionens rekommendationer

Riksrevisionen riktar rekommendationer till de granskade myndigheterna och regeringen.

Rekommendationer riktade till myndigheterna

Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse.

Myndigheterna bör ha en process för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse.

Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna ställningstaganden kring sin it-miljö och behovet av eventuella åtgärder.

Rekommendationer riktade till regeringen

Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen kring föråldrade it-system och den fortsatta digitaliseringen.

Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade till föråldrade it-system i statsförvaltningen för att säkerställa löpande kunskap om myndigheternas förutsättningar och situation.

R I K S R E V I S I O N E N 63

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

64 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Referenslista

Litteratur

Akenine, D., Kammerfors, E., Toftefors J., Olsson, S-H., Folkesson, R., Berg, C., Boken om IT-arkitektur, 2014.

Björkdahl, J., Wallin, M. W., Kronblad, C., Digitalisering − mer än teknik, Kartläggning av svensk forskning och näringslivets behov, Vinnova rapport VR 2018:06, Vinnova, 2018.

Computer Sweden, ”IT-ord”, https://it-ord.idg.se/ord/applikationshantering/, hämtad 2019-07-04.

Dataföreningen, ”Systemförvaltning 2.0”, https://dfs.se/wp- content/uploads/2016/09/Systemförvaltning-2.0v098.pdf, hämtad 2019-07-04.

E-delegationen, Vägledning i nyttorealisering, version 2.0, E-delegationen, 2014.

Ekonomistyrningsverket, Myndigheters strategiska it-projekt, it-kostnader och mognad, Ekonomistyrningsverket, ESV 2018:30, 2018.

Ekonomistyrningsverket, TBM – en vägledning, Ekonomistyrningsverket, ESV 2018:52, 2018.

Gartner, ”IT Glossary”, https://www.gartner.com/it-glossary/total-cost-of- ownership-tco, hämtad 2019-09-25.

Gong, Y., Janssen, M., The value of and myths about enterprise architecturer, International journal of information management, Volume 46, 2019, Pages 1–9.

Jansson, A., Verksamhetsarkitektur, 2017.

National Audit Office, Managing the risk of legacy ICT to public service delivery, National Audit Office, HC 539 Session 2013-14 11, september 2013.

Nationalencyklopedin, ”Uppslagsverket livscykel”, https://www.ne.se/uppslagsverk/encyklopedi/lång/livscykel, hämtad 2019-07-04.

Pensionsmyndigheten, BTY/P1, Ny hantering av bostadstillägg Verksamhetsanalysrapport, PID139365, Pensionsmyndigheten, 2014.

Pensionsmyndigheten, Förstudierapport F-NBT, Pensionsmyndigheten, 2017.

Pensionsmyndigheten och Försäkringskassan, Pensionsmyndighetens systemstöd hos Försäkringskassan, Pensionsmyndigheten, 2012.

Pensionsmyndigheten, Utdrag från protokoll från ledningsgruppsmöte 20160908, Pensionsmyndigheten, 2016.

På AB, pm3 – modellbeskrivning, På AB, 2017.

R I K S R E V I S I O N E N 65

F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G

Regeringskansliet, ”Statlig förvaltning”, http://www.regeringen.se/regeringens- politik/statlig-forvaltning/. hämtad 2018-01-31.

Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016.

Riksrevisionen, Internrevisionen vid myndigheter – En funktion som behöver stärkas, Riksrevisionen, RiR 2017:5, bilaga 1, 2017.

Riksrevisionen, IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, Riksrevisionen,

RiR 2011:4, 2011.

Skatteverket, Avveckling och livscykelhantering, Skatteverket, 2014. Skatteverket, Direktiv moms 1, Skatteverket, 2018.

Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018. Skatteverket, Förstudierapport 98-systemen, Skatteverket, 2017.

Skatteverket, Hur stödjer årlig beskattning en föränderlig verksamhet, Skatteverket, 2017.

Skatteverket, Huvudprojekt Tina, Sammanfattande slutrapport Etapp 1–3, Skatteverket, 2015.

Skatteverket, Målarkitektur FbF, Skatteverket, 2018.

Skatteverket, Vision SIBU – Sammanställt inkomstbeskattningsunderlag, Skatteverket, 2017.

United States Government Accountability Office, Information Technology — Federal Agencies Need to Address aging Legacy Systems, United States Government Accountability Office, GAO-16-468, May 2016.

Utredningar

Kommittédirektiv, En expertgrupp för digitala investeringar, dir. 2017:62.

Kommittédirektiv, Tilläggsdirektiv till Expertgruppen för digitala investeringar, dir. 2017:118.

Riksdagstryck

bet. 2017/18:FÖU4, Informationssäkerhet för samhällsviktiga och digitala tjänster.

Prop. 2011/12:1, Budgetpropositionen för 2012, utg. Omr. 22, bet 2011/12:TU 1.

Skr 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet. Skr 2017/18:47, För ett hållbart digitaliserat Sverige — en digitaliseringsstrategi.

66 R I K S R E V I S I O N E N

E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N

Bilaga 1. Granskade myndigheter

1. Arbetsförmedlingen 35. Sveriges Lantbruksuniversitet
2. Boverket 36. Tillväxtverket
3. Svenska ESF Rådet 37. eHälsomyndigheten
4. Finansinspektionen 38. Försäkringskassan
5. Fortifikationsverket 39. Inspektionen för vård
6. Kammarkollegiet   och omsorg
7. Kronofogden 40. Läkemedelsverket
8. Lantmäteriet 41. Pensionsmyndigheten
9. Länsstyrelsen i Västra Götaland 42. Socialstyrelsen
10. Riksgäldskontoret 43. Statens Institutionsstyrelse
11. Skatteverket 44. Centrala studiestödsnämnden
12. Statens fastighetsverk 45. Göteborgs universitet
13. Statens servicecenter 46. Karlstads universitet
14. Statens tjänstepensionsverk 47. Karolinska Institutet
15. Statistiska centralbyrån 48. Kungliga Tekniska Högskolan
16. Tullverket 49. Linköpings universitet
17. Luftfartsverket 50. Linnéuniversitetet
18. Sjöfartsverket 51. Luleå tekniska universitet
19. Statens energimyndighet 52. Lunds universitet
20. Trafikverket 53. Malmö universitet
21. Transportstyrelsen 54. Mittuniversitetet
22. Domstolsverket 55. Myndigheten för
23. Kriminalvården   yrkeshögskolan
24. Migrationsverket 56. Skolverket
25. Myndigheten för samhällsskydd 57. Specialpedagogiska
  och beredskap   skolmyndigheten
26. Polismyndigheten 58. Stockholms universitet
27. Åklagarmyndigheten 59. Umeå universitet
28. Kulturrådet 60. Universitets- och högskolerådet
29. Havs- och vattenmyndigheten 61. Uppsala universitet
30. Naturvårdsverket 62. Örebro universitet
31. Bolagsverket 63. Styrelsen för internationellt
32. Skogsstyrelsen   utvecklingssamarbete
33. Statens Jordbruksverk 64. Svenska kraftnät

34.Sveriges geologiska undersökning

R I K S R E V I S I O N E N 67