Finansutskottets betänkande

2019/20:FiU35

 

Riksrevisionens rapport om risker med föråldrade it-system i statsförvaltningen

 

Sammanfattning

Utskottet instämmer i bedömningen att föråldrade it-system kan påverka myn-digheters verksamhetsutveckling, försvåra digitalisering och medföra risker ur ett informationssäkerhetsperspektiv. Utskottet utgår från att Riksrevisionens rekommendationer kommer att beaktas av regeringen och myndigheterna i den fortsatta digitaliseringen av statsförvaltningen.

Utskottet föreslår att riksdagen lägger skrivelsen till handlingarna.

Behandlade förslag

Skrivelse 2019/20:82 Riksrevisionens rapport om föråldrade it-system i statsförvaltningen.

 

 

Innehållsförteckning

Utskottets förslag till riksdagsbeslut

Redogörelse för ärendet

Utskottets överväganden

Riksrevisionens rapport om föråldrade it-system

Bilaga
Förteckning över behandlade förslag

Skrivelsen

 

 

Utskottets förslag till riksdagsbeslut

 

 

Riksrevisionens rapport om föråldrade it-system

Riksdagen lägger skrivelse 2019/20:82 till handlingarna.

Stockholm den 30 mars 2020

På finansutskottets vägnar

Fredrik Olovsson

Följande ledamöter har deltagit i beslutet: Fredrik Olovsson (S), Elisabeth Svantesson (M), Edward Riedl (M), Emil Källström (C), Ulla Andersson (V), Jan Ericson (M), Jakob Forssmed (KD), Mats Persson (L), Charlotte Quensel (SD), Karolina Skog (MP), Teres Lindberg (S), Sultan Kayhan (S), Jessika Roswall (M), Mathias Tegnér (S) och Fredrik Stenberg (S).

 

 

 

 

Redogörelse för ärendet

I regeringens skrivelse 2019/20:82 Riksrevisionens rapport om föråldrade it-system i statsförvaltningen behandlas Riksrevisionens granskningsrapport RiR 2019:28 Föråldrade it-system – hinder för en effektiv digitalisering. Riksdagen överlämnade den 15 oktober 2019 Riksrevisionens gransknings-rapport till regeringen.

Den 7 november 2019 informerade riksrevisor Stefan Lundgren med med-arbetare finansutskottet om den aktuella granskningsrapporten.

Regeringen lämnade sin svarsskrivelse till granskningsrapporten den 11 februari 2020.

Inga följdmotioner har väckts med anledning av skrivelsen.

 

 

Utskottets överväganden

Riksrevisionens rapport om föråldrade it-system

Utskottets förslag i korthet

Riksdagen lägger skrivelsen till handlingarna.

 

Riksrevisionens granskningsrapport

Alla myndigheter och andra organisationer som inte är direkt nyetablerade har sannolikt en it-miljö som har utvecklats över tid och som till stor del består av s.k. ärvda system, dvs. system som har anskaffats med skilda syften under olika epoker. Många av dessa system är fortfarande mer eller mindre oproblematiska; de levererar god nytta i verksamheten samt kan användas, underhållas och vidareutvecklas på ett relativt effektivt och säkert sätt. Andra ärvda system är av olika skäl föråldrade eller utdaterade och uppfyller inte organisationens krav eller behov. Förekomsten av föråldrade system kan påverka både digitaliseringstakten och informationssäkerheten.

Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter. Samtidigt har regeringen pekat på vikten av tydligt statligt ledarskap i förändring och fortlöpande analys av digital mognad och behov av åtgärder. Regeringen har även uttryckt att informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten i samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas till vara.

Riksrevisionen har granskat förekomsten av föråldrade it-system hos ett drygt 60-tal större myndigheter. Syftet med granskningen har varit att undersöka förekomsten av föråldrade it-system i statsförvaltningen samt om myndigheterna och regeringen har vidtagit tillräckliga åtgärder för att dessa system inte ska utgöra ett hinder för en effektiv digitalisering. Granskningens frågeställningar/revisionsfrågor är:

       Har myndigheterna vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

       Har regeringen vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade it-system?

Med att vidta tillräckliga åtgärder avser Riksrevisionen åtgärder som syftar till att förebygga att systemen blir föråldrade såväl som åtgärder som vidtas för att reducera eller undanröja problem kopplade till att it-system har blivit föråldrade.

Granskningens resultat och Riksrevisionens rekommendationer

Riksrevisionens granskning visar att det förekommer föråldrade it-system hos ett stort antal myndigheter. Hos många myndigheter är dessutom ett eller flera verksamhetskritiska it-system föråldrade.

Riksrevisionens slutsats är att en stor del av de undersökta myndigheterna inte arbetar på rätt sätt med utveckling och förvaltning av it-stödet. De använd-er inte de verktyg för verksamhetsutveckling som finns för att skapa sig en uppfattning om hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse på bästa sätt och hur förändringar påverkar verksamhetens mål och ett framtida önskvärt läge.

En majoritet av de undersökta myndigheterna saknar en beslutad modell för att hantera och fatta beslut om it-system från det att ett system utvecklas till dess att det avvecklas, det som brukar kallas livscykelhantering. Myndigheterna är bäst på att utvärdera tekniken i systemen, snarare än att analysera sina övergripande behov. Det finns också brister i arbetet med att återkommande genomföra riskanalyser av verksamhetskritiska system samt att ta fram detaljerade uppgifter om it-kostnader. Riksrevisionen drar slutsatsen att det är svårt att göra meningsfulla utvärderingar av it-stödets ändamålsenlighet utan återkommande riskanalyser och detaljerade uppgifter om kostnaderna.

Granskningen visar att en majoritet av de undersökta myndigheterna saknar livscykelplaner för annat än något eller några verksamhetskritiska system. Av de myndigheter som har tagit fram livscykelplaner bedömer en majoritet att planerna inte är tillfredsställande för mer än några enstaka system eller inga alls. Det innebär enligt Riksrevisionen att myndigheterna överlag inte kan anses ha gjort medvetna och uttryckliga ställningstaganden kring sina it-system.

Riksrevisionen gör även bedömningen att de ansvariga departementen och därmed regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna av föråldrade it-system. Även om ansvaret för utformningen av myndigheternas it-miljö och it-system enligt den svenska förvaltnings-modellen ligger på myndigheterna själva konstaterar Riksrevisionen att problem i enskilda it-system kan få förvaltningsövergripande konsekvenser och mycket stor påverkan på det fortsatta digitaliseringsarbetet. Utifrån förekomsten av föråldrade it-system hos de granskade myndigheterna, regeringens bristande kunskap och riksdagens och regeringens ambitiösa mål för digitaliseringen anser Riksrevisionen att regeringen bör säkerställa att man har kunskap om hur myndigheterna hanterar problemen med föråldrade it-system. Utan sådan kunskap försvåras regeringens möjligheter att styra på en övergripande nivå. Regeringen bör även överväga att tillhandahålla gemensamma verktyg eller modeller för att underlätta myndigheternas arbete. Ett gemensamt arbetssätt, inklusive gemensamma sätt att jämföra myndig-heterna med varandra, gör det möjligt för regeringen att försäkra sig om att digitaliseringen av statsförvaltningen är effektiv och om hur regerings-styrningen ska utformas.

Riksrevisionens bedömning är att regeringen inte kan anses ha vidtagit tillräckliga åtgärder för att säkerställa att problemen med föråldrade it-system har reducerats eller undanröjts.

Riksrevisionen riktar följande rekommendationer till myndigheterna:

       Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma hur it-stödet ska bidra till kärnverksamhetens måluppfyllelse.

       Myndigheterna bör ha en process för att löpande utvärdera hur väl it-stödet bidrar till kärnverksamhetens måluppfyllelse.

       Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna ställningstaganden kring sin it-miljö och behovet av eventuella åtgärder.

Riksrevisionens riktar följande rekommendationer till regeringen:

       Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen med föråldrade it-system och den fortsatta digitaliseringen.

       Regeringen bör ge aktörer i uppdrag att följa och utvärdera frågor kopplade till föråldrade it-system i statsförvaltningen för att säkerställa löpande kunskap om myndigheternas förutsättningar och situation.

Regeringens svarsskrivelse

Regeringens bedömning av Riksrevisionens iakttagelser

Regeringen välkomnar Riksrevisionens granskning och noterar att Riksrevi-sionen har funnit att det finns föråldrade it-system hos ett stort antal myndig-heter, och att ett flertal av dessa system är av verksamhetskritisk karaktär. Regeringen instämmer i Riksrevisionens bedömning att föråldrade it-system påverkar myndigheternas verksamhetsutveckling och försvårar fortsatt digita-lisering. Det riskerar att tränga undan innovationsförmåga och kan medföra stora risker ur ett informationssäkerhetsperspektiv.

Regeringen delar dock inte Riksrevisionens bedömning att regeringen har varit omedveten om den aggregerade risk som föråldrade it-system utgör för statsförvaltningen som helhet.

Regeringens åtgärder med anledning av Riksrevisionens iakttagelser

Enligt regeringens bedömning har åtgärder vidtagits och ett systematiskt arbete bedrivits under flera års tid för att följa upp och hantera flera av de risker som Riksrevisionen pekar på.

Styrning av den statliga förvaltningens digitalisering

Genom att inrätta Myndigheten för digital förvaltning (Digg) 2018 förbättrade regeringen de långsiktiga förutsättningarna för en effektiv styrning och samordning av offentliga digitala system och insatser. Myndigheten har i uppgift att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig. Myndigheten har även i uppgift att följa och analysera utvecklingen inom sitt verksamhetsområde och bistå regeringen med underlag för utvecklingen av den offentliga förvaltningen. Myndigheten är dock förhållandevis ny, och det är ännu för tidigt att bedöma de långsiktiga effekterna av myndighetens arbete.

På en mer övergripande nivå har regeringen vidtagit åtgärder bl.a. för att komma till rätta med brister i myndigheternas möjligheter att utbyta informa-tion mellan system. I ett regeringsuppdrag som rapporterades den 15 augusti 2019 lämnade sju myndigheter förslag till ett antal åtgärder för ett säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn (dnr Fi2018/02150/DF, FI2018/03037/DF och I2019/01061/DF). Den 11 december 2019 fattade regeringen beslut om att gå vidare med de åtgärder som myndigheterna hade föreslagit och uppdrog åt myndigheterna att etablera en förvaltningsgemensam digital infrastruktur för informationsutbyte (dnr I2019/03306/DF).

Regeringen har även vidtagit åtgärder för att öka tillgängliggörandet av öppna data, bl.a. i form av ett regeringsuppdrag till Digg (Dnr I2019/01416/DF).

Regeringen har vidare fattat beslut om att tillsätta en särskild utredare med uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv it-drift samt hur dessa behov tillgodoses (dir. 2019:64).

Utöver dessa övergripande insatser har regeringen vidtagit flera sektors- och myndighetsspecifika åtgärder som syftar till att öka säkerheten och effektiviteten i myndigheternas digitala service, vilket indirekt ställer krav på anpassning av föråldrade it-system. Några exempel på sådana åtgärder är arbetet med Vision e-hälsa 2025, digitaliseringen av samhällsbyggnadsproces-sen samt rättsväsendets informationsförsörjning och det råd för digitalisering av rättsväsendet som kommer att inrättas den 1 september 2020 enligt förord-ningen (2019:1283) om rättsväsendets digitalisering.

Uppföljning och utvärdering

Regeringen har vidtagit åtgärder i syfte att åstadkomma en bättre uppföljning och utvärdering av myndigheternas digitalisering.

Ekonomistyrningsverket (ESV) har på uppdrag av regeringen under flera år följt myndigheternas it-kostnader och hur mycket resurser respektive myndighet lägger på att förvalta befintliga system i förhållande till att utveckla nya (dnr N2015/738/ITP och N2016/01642/EF). Dessutom har ESV följt strategiska it-projekt hos flera myndigheter. Ansvaret för den fortsatta uppföljningen av digitaliseringen av den offentliga förvaltningen ligger numera på Digg.

Regeringen har vidare i regleringsbrevet för 2020 uppdragit åt Digg att lämna en samlad analys och bedömning av digitaliseringen i den offentliga förvaltningen.

Ett mål för regeringens nationella strategi för samhällets informations- och cybersäkerhet (skr. 2016717:213) är att statliga myndigheter ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. Att hantera eventuella risker och brister till följd av föråldrade it-system ingår i detta. För att bättre följa upp utvecklingen inom statsförvaltningen uppdrog regeringen i september 2019 åt Myndigheten för samhällsskydd och beredskap att ta fram en struktur för uppföljning av det systematiska informationssäkerhetsarbetet inom den offentliga förvaltningen (dnr Ju2019/03058/SSK).

Regeringen anför vidare att den löpande utvecklar myndighetsstyrningen och uppföljningen på digitaliserings- och informationssäkerhetsområdet. Regeringen har bl.a. tagit initiativ till fler och tydligare dialoger med myndigheterna, och fler myndigheter har fått återrapporteringskrav kopplade till frågeställningarna i regleringsbreven. Återrapporteringen från myndig-heterna har bl.a. följts upp inom ramen för de årliga myndighetsdialogerna.

Stöd till myndigheterna

Regeringen anför i skrivelsen att den sedan flera år arbetar med att systematiskt höja den digitala mognaden inom statsförvaltningen. Det sker bl.a. genom olika former av stöd och ramverk till myndigheterna, vilka redovisas i svarsskrivelsen.

Utskottets ställningstagande

Utskottet instämmer i bedömningen att föråldrade it-system kan påverka myndigheters verksamhetsutveckling, försvåra digitalisering och medföra risker ur ett informationssäkerhetsperspektiv. Utskottet välkomnar Riks-revisionens granskning av förekomsten av föråldrade it-system samt vilka åtgärder som har vidtagits av regeringen och myndigheterna för att lösa de problem som är kopplade till sådana system.

Regeringen redovisar i skrivelsen åtgärder som har vidtagits för att utveckla den statliga förvaltningens digitalisering och funktion. Utskottet utgår från att Riksrevisionens rekommendationer kommer att beaktas av regeringen och myndigheterna i den fortsatta digitaliseringen av statsförvaltningen.

Därmed föreslår utskottet att riksdagen lägger regeringens skrivelse till handlingarna.

 

 

Bilaga

Förteckning över behandlade förslag

Skrivelsen

Regeringens skrivelse 2019/20:82 Riksrevisionens rapport om föråldrade it-system i statsförvaltningen.