Regeringens skrivelse 2019/20:82
Riksrevisionens rapport om föråldrade |
Skr. |
i statsförvaltningen | 2019/20:82 |
Regeringen överlämnar denna skrivelse till riksdagen.
Stockholm den 11 februari 2020
Stefan Löfven
Anders Ygeman (Infrastrukturdepartementet)
Skrivelsens huvudsakliga innehåll
I skrivelsen redovisar regeringen sin bedömning med anledning av Riksrevisionens iakttagelser och rekommendationer i rapporten Föråldrade
Riksrevisionens övergripande iakttagelse är att det finns föråldrade itsystem hos ett stort antal myndigheter och att den bilden tidigare inte har varit känd av statsförvaltningen som helhet. Flertalet myndigheter har enligt Riksrevisionen inte gjort tillräckligt för att hantera och förhindra situationen och utifrån de iakttagelser som har gjorts under granskningen verkar regeringen enligt Riksrevisionen vara omedveten om den aggregerade risk som föråldrade
Regeringen välkomnar Riksrevisionens granskning och noterar att Riksrevisionen funnit att
föråldrade
1
Skr. 2019/20:82 framgår av skrivelsen har regeringen vidtagit åtgärder och arbetat systematiskt under flera års tid för att följa upp och hantera flera av de risker som Riksrevisionen pekar på.
Regeringen har bl.a. vidtagit åtgärder för att förbättra uppföljningen av myndigheternas digitalisering inom områdena digital mognad, strategiska
I och med denna skrivelse anser regeringen att Riksrevisionens rapport är slutbehandlad.
2
Innehållsförteckning | Skr. 2019/20:82 | ||
1 | Ärendet och dess beredning ............................................................. | 4 | |
2 | Riksrevisionens iakttagelser............................................................. | 4 | |
3 | Regeringens bedömning av Riksrevisionens iakttagelser ................ | 6 | |
4 | Regeringens åtgärder med anledning av Riksrevisionens | ||
iakttagelser ....................................................................................... | 7 | ||
Bilaga | Föråldrade |
||
digitalisering (RIR 2019:28)............................................ | 13 | ||
Utdrag ur protokoll vid regeringssammanträde den 6 februari 2020 ..... | 83 |
3
Skr. 2019/20:82 1 | Ärendet och dess beredning |
Riksrevisionen har granskat förekomsten av föråldrade
Riksdagen överlämnade rapporten till regeringen den 15 oktober 2019. I denna skrivelse behandlar regeringen de iakttagelser och rekommendationer till regeringen som Riksrevisionen har redovisat i sin rapport.
2 Riksrevisionens iakttagelser
Syftet med Riksrevisionens granskning har varit att undersöka förekomsten av föråldrade
∙myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
∙regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Riksrevisionen beskriver följande sammanfattande iakttagelser. Det finns många föråldrade
Riksrevisionen bedömer att ett stort antal myndigheter inte har någon process för att löpande kunna utvärdera hur väl
4
Enligt Riksrevisionen har Regeringskansliet endast kunskap om att det finns föråldrade
Riksrevisionen noterar att Regeringskansliet i granskningen enbart har lämnat övergripande svar och enligt Riksrevisionen framgår det inte om Regeringskansliet vet vilka konsekvenserna av föråldrade
Riksrevisionen menar att regeringen visserligen har vidtagit vissa övergripande åtgärder kring digitalisering som indirekt kan ha positiva effekter på frågan om föråldrade
Baserat på dessa iakttagelser riktar Riksrevisionen följande rekommendationer till regeringen:
∙Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen kring föråldrade
∙Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade till föråldrade
Skr. 2019/20:82
5
Skr. 2019/20:82
6
3Regeringens bedömning av Riksrevisionens iakttagelser
Regeringen noterar att Riksrevisionen i sin granskning har funnit att det finns föråldrade
Risker med föråldrade
Regeringen instämmer i Riksrevisionens bedömning att föråldrade itsystem påverkar myndigheternas verksamhetsutveckling och försvårar fortsatt digitalisering, riskerar att tränga undan innovationsförmåga och kan leda till stora risker ur ett informationssäkerhetsperspektiv. Regeringen delar även delvis Riksrevisionens slutsatser om att flera av de granskade myndigheterna inte har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Vad gäller regeringens kunskap om omfattning, orsaker och konsekvenser av myndigheternas föråldrade
att besluta om hur de egna uppgifterna ska lösas är en viktig komponent i Skr. 2019/20:82 den svenska förvaltningen. Detta lägger grunden för att myndigheterna på
ett självständigt sätt ska kunna sköta sin dagliga verksamhet effektivt och rättssäkert. Enligt myndighetsförordningen (2007:515) ansvarar myndighetens ledning inför regeringen för verksamheten och ska bl.a. se till att den bedrivs effektivt. I det ansvaret ingår att informera regeringen om omständigheter som gör att verksamheten inte kan utvecklas i enlighet med riksdagens och regeringens mål för verksamheten och myndighetens uppdrag. Ett sådant exempel skulle kunna vara förekomsten av föråldrade
Regeringen delar inte Riksrevisionens bedömning att regeringen har varit omedveten om den aggregerade risk som föråldrade
Regeringen har även följt utvecklingen av myndigheternas systematiska informationssäkerhetsarbete genom exempelvis Myndigheten för samhällsskydd och beredskap (MSB) kartläggning ”En bild av myndigheternas informationssäkerhetsarbete 2014 - tillämpning av MSB:s föreskrifter” samt Riksrevisionens tidigare granskningar på området (se t.ex. RiR 2016:8, RiR 2014:23 samt RiR 2007:10). Regeringen har även följt upp de bevakningsansvariga myndigheternas informationssäkerhetsarbete, bl.a. genom uppdrag till bevakningsansvariga myndigheter att analysera och bedöma informationssäkerheten i den egna verksamheten (dnr Ju2017/05787/SSK) och uppdrag till Myndigheten för samhällsskydd och beredskap att bidra till ökad kunskap om informationssäkerheten hos bevakningsansvariga myndigheter (dnr Ju2017/05788/SSK).
4Regeringens åtgärder med anledning av Riksrevisionens iakttagelser
Riksrevisionens granskning ger värdefulla insikter om förekomsten av föråldrade
Riksrevisionens rekommendationer till regeringen avser främst åtgärder på en mer aggregerad och övergripande nivå. Regeringens redogörelse i detta avsnitt tar därför sikte på de mer övergripande åtgärder som vidtagits
i förhållande till de statliga myndigheterna och går således inte in i detalj
7
Skr. 2019/20:82
8
på specifika åtgärder som har vidtagits vad gäller enskilda myndigheter. Riksrevisionens iakttagelser och rekommendationer riktade till enskilda myndigheter tar regeringen upp i myndighetsdialogerna för att säkerställa att myndigheterna vid behov vidtar lämpliga åtgärder.
Regeringens styrning av den statliga förvaltningens digitalisering
Regeringens styrning av den statliga förvaltningens digitalisering fokuserar på vilka egenskaper och förmågor som myndigheterna och deras
Genom inrättandet av Myndigheten för digital förvaltning 2018 har regeringen förbättrat de långsiktiga förutsättningarna för en effektiv styrning och samordning av offentliga digitala system och insatser. Myndigheten har i uppgift att samordna och stödja den förvaltningsgemensamma digitaliseringen i syfte att göra den offentliga förvaltningen mer effektiv och ändamålsenlig. Myndigheten har därmed en central roll för att regeringen ska kunna åstadkomma en mer sammanhållen styrning och för genomförandet av insatser på området. Myndigheten har även i uppgift att följa och analysera utvecklingen inom sitt verksamhetsområde och ska särskilt bistå regeringen med underlag för utvecklingen av digitaliseringen av den offentliga förvaltningen. Myndigheten ska bedriva arbetet med digitalisering av den offentliga förvaltningen på ett sätt som säkerställer skyddet av säkerhetskänslig verksamhet och informationssäkerhet i övrigt samt skyddet av den personliga integriteten. Myndigheten är förhållandevis ny och det är ännu för tidigt att bedöma de långsiktiga effekterna av myndighetens arbete.
På en mer övergripande nivå har regeringen vidtagit åtgärder bl.a. för att komma till rätta med brister i myndigheternas möjligheter att utbyta information mellan system, något som är avgörande för att kunna utnyttja den fulla potentialen i den offentliga förvaltningens data. I det regeringsuppdrag om säkert och effektivt elektroniskt informationsutbyte inom den offentliga sektorn som rapporterades den 15 augusti 2019 (dnr Fi2018/02150/DF, FI2018/03037/DF och I2019/01061/DF) lämnade de sju ansvariga myndigheterna förslag till ett antal åtgärder för att säkerställa en ökad interoperabilitet, bl.a. i form av stärkta styrformer, gemensamma regler och principer samt framtagande av förvaltningsgemensamma byggblock. Regeringen fattade den 11 december 2019 beslut om att gå vidare med de åtgärder som myndigheterna föreslagit och uppdrog åt myndigheterna att etablera en förvaltningsgemensam digital infrastruktur
för informationsutbyte (dnr I2019/03306/DF). En ökad styrning i fråga om Skr. 2019/20:82 elektroniskt informationsutbyte med krav på interoperabilitet mellan olika
myndigheter leder i förlängningen till att myndigheternas
Regeringen har vidare fattat beslut om att tillsätta en särskild utredare med uppdrag att kartlägga och analysera statliga myndigheters behov av säker och kostnadseffektiv
Utöver dessa övergripande insatser har regeringen vidtagit flera konkreta sektors- och myndighetsspecifika åtgärder som syftar till att öka säkerheten och effektiviteten i myndigheters digitala service, vilket indirekt ställer krav på anpassning av föråldrade
Uppföljning och utvärdering
Regeringen har vidtagit flera åtgärder i syfte att åstadkomma en bättre uppföljning och utvärdering av myndigheternas digitalisering. Under flera år har särskilt fokus legat på myndigheternas strategiska
ESV har på uppdrag av regeringen under flera år följt myndigheternas
9
Skr. 2019/20:82
10
myndigheten konstaterar en positiv utveckling av myndigheternas digitala mognad, men att utvecklingen går långsamt.
Regeringen har vidare i regleringsbrevet för 2020 uppdragit åt Myndigheten för digital förvaltning att lämna en samlad analys och bedömning av digitaliseringen i den offentliga förvaltningen. Den 15 december 2020 ska myndigheten inkomma med sin analys.
Regeringen utvecklar löpande myndighetsstyrningen och uppföljningen på digitaliserings- och informationssäkerhetsområdet. Regeringen har bl.a. tagit initiativ till fler och tydligare dialoger med myndigheterna och flera myndigheter har även fått återrapporteringskrav kopplade till digitaliserings- och informationssäkerhetsområdet i regleringsbreven. Sedan 2017 har regeringen i regleringsbreven uppdragit åt flera myndigheter att redovisa de viktigaste verksamhets- och
Ett mål i regeringens nationella strategi för samhällets informations- och cybersäkerhet (skr. 2016/17:213) är att statliga myndigheter ska ha kännedom om hot och risker, ta ansvar för sin informationssäkerhet och bedriva ett systematiskt informationssäkerhetsarbete. Att hantera eventuella risker och brister till följd av föråldrade
Stöd till myndigheterna
Regeringen arbetar sedan flera år systematiskt med att höja den digitala mognaden inom statsförvaltningen, bl.a. genom olika former av stöd och ramverk.
Regeringen uppdrog åt ESV i regleringsbrevet för 2017 att tillsammans med ett antal myndigheter undersöka möjligheten att använda ett gemensamt och internationellt accepterat ramverk för att bland annat kunna jämföra
Regeringskansliet genom en överenskommelse 2017 med Göteborgs universitet om utveckling av uppföljningsramverk även fått in förslag om framtagandet av ett webbaserat verktyg för mätning av digital mognad (dnr Fi2017/01676/DF). Regeringens bedömning är att frågor om metoder och eventuella stöd för uppföljning av
Regeringen har tillsatt en expertgrupp för digitala investeringar med fokus på att stödja ett antal utpekade myndigheter i deras arbete med strategiska utvecklingsprojekt. I expertgruppens slutrapport (SOU 2018:72) lyftes frågan om myndigheternas tekniska skulder och konsekvenserna av dessa. Av rapporten framgår också att många myndigheter är väl medvetna om problematiken med teknisk skuld och att de arbetar strategiskt med översyn av myndighetens plattformar och arkitektur. Sedan 2018 har Myndigheten för digital förvaltning ansvar för expertgruppen för digitala investeringar och ska ge stöd till den offentliga förvaltningen vid digitala investeringar av större eller strategisk karaktär.
Inom informations- och cybersäkerhetsområdet har regeringen även vidtagit åtgärder för att öka stödet till myndigheternas systematiska informationssäkerhetsarbete. Under hösten 2019 uppdrog regeringen åt MSB att genomföra riktade utbildningsinsatser till statliga myndigheter, kommuner och landsting för att höja nivån på informationssäkerhetsarbetet i offentlig sektor (dnr Ju2019/03057/SSK). MSB ska även vid behov särskilt utveckla stöd till mindre myndigheter. Uppdraget ska slutredovisas senast den 1 mars 2021. Uppdraget bygger vidare på ett tidigare uppdrag till MSB att uppdatera och vidareutveckla det metodstöd på informationssäkerhetsområdet som är riktat mot kommuner samt att genomföra riktade utbildningsinsatser mot kommuner, landsting och länsstyrelser (dnr Ju2018/02265/SSK).
Även inom ramen för myndigheternas frivilliga samverkan har flera stödinsatser genomförts. eSamverkansprogrammet (eSam), där 25 myndigheter och Sveriges Kommuner och Regioner ingår som medlemmar, har tagit fram flera vägledningar avseende digital samverkan och verksamhetsutveckling ur både tekniska, organisatoriska, säkerhetsmässiga och juridiska perspektiv. Vidare har eSam tagit fram ett svenskt ramverk för digital samverkan, som bygger på Europeiska kommissionens interoperabilitetsramverk (European Interoperability Framework – EIF). Ramverket innehåller flera principer och rekommendationer som vid tillämpning får både direkt och indirekt effekt på myndigheternas förmåga att hantera utmaningar med föråldrade
Sedan flera år tillbaka finns även en vägledning i nyttorealisering som ursprungligen tagits fram inom
Med dessa åtgärder anser regeringen att granskningsrapporten är slutbehandlad.
Skr. 2019/20:82
11
Skr. 2019/20:82
Bilaga
EN GRANSKNINGSRAPPORT FRÅN RIKSREVISIONEN
Föråldrade
– hinder för en effektiv digitalisering
rir 2019:28
13
Skr. 2019/20:82
Bilaga
Riksrevisionen är en myndighet under riksdagen med uppgift att granska den verksamhet som bedrivs av staten. Vårt uppdrag är att genom oberoende revision skapa demokratisk insyn, medverka till god resursanvändning och effektiv förvaltning i staten.
Riksrevisionen bedriver både årlig revision och effektivitetsrevision. Denna rapport har tagits fram inom effektivitetsrevisionen, vars uppgift är att granska hur effektiv den statliga verksamheten är. Effektivitetsgranskningar rapporteras sedan 2011 direkt till riksdagen.
riksrevisionen
isbn
omslagets originalfoto: caiaimage
tryck: riksdagens interntryckeri, stockholm 2019
14
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
T I L L R I K S D A G E N
B E S L U T A D : 2 0 1 9 - 1 0 - 0 1 D N R : 3 . 1 . 1 - 2 0 1 8 - 0 7 7 8 R I R 2 0 1 9 : 2 8
Härmed överlämnas enligt 9 § lagen (2002:1022) om revision av statlig verksamhet m.m. följande granskningsrapport:
Föråldrade
– hinder för en effektiv digitalisering
Riksrevisionen har granskat förekomsten av föråldrade
Riksrevisor Stefan Lundgren har beslutat i detta ärende. Revisionsdirektör Marcus Pettersson har varit föredragande. Enhetschef Robin Travis har medverkat i den slutliga handläggningen.
Stefan Lundgren
Marcus Pettersson
För kännedom:
Regeringskansliet; Arbetsmarknadsdepartementet, Finansdepartementet, Infrastrukturdepartementet, Justitiedepartementet, Kulturdepartementet, Miljö- och energidepartementet, Näringsdepartementet, Socialdepartementet, Utbildningsdepartementet, Utrikesdepartementet.
Arbetsförmedlingen, Boverket, Svenska ESF Rådet , Finansinspektionen, Fortifikationsverket, Kammarkollegiet, Kronofogden, Lantmäteriet, Länsstyrelsen
i Västra Götaland, Riksgäldskontoret, Skatteverket, Statens fastighetsverk, Statens servicecenter, Statens tjänstepensionsverk, Statistiska centralbyrån, Tullverket, Luftfartsverket, Sjöfartsverket, Statens energimyndighet, Trafikverket, Transportstyrelsen, Domstolsverket, Kriminalvården, Migrationsverket, Myndigheten för samhällsskydd och beredskap, Polismyndigheten, Åklagarmyndigheten, Kulturrådet, Havs- och vattenmyndigheten, Naturvårdsverket, Bolagsverket, Skogsstyrelsen, Statens Jordbruksverk, Sveriges geologiska undersökning, Sveriges Lantbruksuniversitet, Tillväxtverket, Försäkringskassan, Inspektionen för vård och
R I K S R E V I S I O N E N
15
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
omsorg, Läkemedelsverket, Pensionsmyndigheten, Socialstyrelsen, Statens Institutionsstyrelse, Centrala studiestödsnämnden , Göteborgs universitet, Karlstads universitet, Karolinska Institutet, Kungliga Tekniska Högskolan, Linköpings universitet, Linnéuniversitetet, Luleå tekniska universitet, Lunds universitet, Malmö universitet, eHälsomyndigheten, Mittuniversitetet, Myndigheten för yrkeshögskolan, Skolverket, Specialpedagogiska skolmyndigheten, Stockholms universitet, Umeå universitet, Universitets- och högskolerådet, Uppsala universitet, Örebro universitet, Styrelsen för internationellt utvecklingssamarbete, Svenska kraftnät.
R I K S R E V I S I O N E N
16
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Innehåll
Sammanfattning och rekommendationer | 5 | |
1 | Inledning | 10 |
1.1 | Motiv till granskning | 10 |
1.2 | Syfte och frågeställningar | 11 |
1.3 | Bedömningsgrunder | 11 |
1.4 | Metod och genomförande | 13 |
2 | Förekomsten av föråldrade |
22 |
2.1 | Effektivitetsperspektivet på föråldrade |
22 |
2.2 | Antal verksamhetskritiska system | 23 |
2.3 | Förekomsten av föråldrade |
24 |
2.4 | Förekomsten av problem i myndigheternas |
24 |
2.5 | Illustrativa exempel från fallstudierna | 27 |
2.6 | Sammanfattande iakttagelser | 28 |
3 | Styrningen av myndigheternas |
29 |
3.1 | Myndigheternas uppfattning om |
29 |
3.2 | Processer för att löpande utvärdera |
36 |
3.3 | Medvetna och uttryckliga ställningstaganden kring |
43 |
3.4 | Konsekvenser av föråldrade |
46 |
3.5 | Övergripande mönster i myndigheternas svar | 47 |
4 | Regeringens styrning | 52 |
4.1 | Övergripande åtgärder för digitalisering | 52 |
4.2 | Regeringens kunskap om problembilden och eventuellt vidtagna åtgärder | 53 |
5 | Slutsatser och rekommendationer | 56 |
5.1 | Förekomsten av föråldrade |
56 |
5.2 | Myndigheternas åtgärder | 57 |
5.3 | Regeringens åtgärder | 60 |
5.4 | Riksrevisionens rekommendationer | 63 |
Referenslista | 65 | |
Bilaga 1. Granskade myndigheter | 67 |
Elektroniska bilagor
Till rapporten finns bilagor att ladda ned från Riksrevisionens webbplats.
Bilagorna kan begäras ut från ärendets akt genom registraturen.
Bilaga 2. Enkätfrågor till myndigheterna
Bilaga 3. Frågeformulär till Regeringskansliet
R I K S R E V I S I O N E N
17
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
R I K S R E V I S I O N E N
18
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Sammanfattning och rekommendationer
Riksrevisionen har granskat förekomsten av föråldrade
Granskningen visar att regeringen på ett övergripande plan har arbetat med digitalisering som indirekt kan ha positiva effekter på problemen med föråldrade
Bakgrund och motiv
Det är mycket vanligt att organisationer som inte är nyetablerade har en
Ambitionerna är höga på området – riksdagens mål är att Sverige ska vara bäst
i världen på att använda digitaliseringens möjligheter. Regeringen har också pekat på vikten av tydligare statligt ledarskap i förändring och fortlöpande analys av digital mognad och behov av åtgärder. Regeringen har även uttryckt att ”Informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.
Den betydelse digitalisering har givits av såväl riksdag som regering i kombination med att föråldrade
genomföra granskningen.
R I K S R E V I S I O N E N | 5 |
19
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Syfte och metod
Syftet med granskningen har varit att undersöka förekomsten av föråldrade
•myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
•regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Granskningen genomfördes i tre steg. Först gjordes fallstudier hos Pensionsmyndigheten och Skatteverket. Dessa användes sedan för att konstruera en enkät som skickades ut till totalt 64 myndigheter. Avslutningsvis skickade Riksrevisionen ett frågeformulär till Regeringskansliet för att undersöka vilken kunskap regeringen har kring föråldrade
Granskningens resultat
Förekomsten av föråldrade
Föråldrade verksamhetskritiska
Granskningen visar att det förekommer föråldrade
ny kunskap och ingen har således haft en bild av problemets utbredning i statsförvaltningen.
6R I K S R E V I S I O N E N
20
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
effektivitetsproblem för staten och ett hinder för en fortsatt effektiv och säker digitalisering.
Myndigheterna har inte rätt arbetssätt
Riksrevisionens slutsats är att en stor del av de undersökta myndigheterna inte arbetar på rätt sätt med utveckling och förvaltning av
ett framtida önskvärt läge.
Myndigheterna saknar processer för att löpande utvärdera
Av de 64 myndigheter som besvarat enkäten säger 69 procent att man inte har någon beslutad modell för att hantera och fatta beslut om
Myndigheterna tar inte medvetet ställning till sina
Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något eller några verksamhetskritiska system. Av de myndigheter som tagit fram sådana planer bedömer 60 procent att planerna inte är tillfredsställande annat än för några enstaka system eller inga alls. Avsaknaden av livscykelplaner och andra planeringsunderlag hos många myndigheter kombinerat med brister i den livscykelhantering som faktiskt görs, innebär att myndigheterna överlag inte kan anses ha gjort medvetna och uttryckliga ställningstaganden kring sina
R I K S R E V I S I O N E N | 7 |
21
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Regeringen har inte vidtagit tillräckliga åtgärder
Riksrevisionens bedömning är att de ansvariga departementen och därmed även regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna av föråldrade
Företrädare för Regeringskansliet har påtalat att regeringen inte utövar styrning av myndigheterna på ett sätt som innebär att de talar om för myndigheterna hur de ska utforma sin
Riksrevisionen konstaterar samtidigt att närmare hälften av myndigheterna uppger att problem i enskilda
Utifrån de iakttagelser Riksrevisionen har gjort verkar regeringen ha bristande kunskap om den risk som föråldrade
Riksrevisionens bedömning är därmed att regeringen inte kan anses ha vidtagit tillräckliga åtgärder för att säkerställa att problemen reducerats eller undanröjts.
8R I K S R E V I S I O N E N
22
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Rekommendationer
Riksrevisionen riktar rekommendationer till de granskade myndigheterna och regeringen.
Rekommendationer riktade till myndigheterna
Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma hur
Myndigheterna bör ha en process för att löpande utvärdera hur väl
Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna ställningstaganden kring sin
Rekommendationer riktade till regeringen
Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen kring föråldrade
Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade till föråldrade
R I K S R E V I S I O N E N | 9 |
23
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
1 Inledning
1.1Motiv till granskning
Alla myndigheter och andra organisationer som inte är direkt nyetablerade har sannolikt en
i Storbritannien, National Audit Office (NAO), konstaterades till exempel att myndigheterna i Storbritannien till stora delar är beroende av föråldrade
Riksrevisionen har utgått ifrån att NAO:s och GAO:s slutsatser sannolikt är relevanta även för svensk förvaltning och svenska myndigheter, samtidigt som det enligt vad Riksrevisionen erfar inte pågår något arbete som berör frågan om föråldrade
i statsförvaltningen.
Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.4 Samtidigt har regeringen pekat på vikten av tydligare statligt ledarskap i förändring och fortlöpande analys av digital
1Med begreppet föråldrat system avser Riksrevisionen ett verksamhetskritiskt system/applikation som inte uppfyller organisationens krav på vad systemet skulle behöva prestera i nuläget
i verksamheten. Definitionen innebär inte att systemet nödvändigtvis behöver vara gammalt utan tar mer sikte på att
2National Audit Office, Managing the risk of legacy ICT to public service delivery, National Audit Office, HC 539 Session
3United States Goverment Accountability Office: Information technology — Federal Agencies Need to Address aging Legacy Systems,
4Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87.
10 R I K S R E V I S I O N E N
24
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
mognad och behov av åtgärder.5 Regeringen har även uttryckt att ”informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.6
Den betydelse digitalisering har givits av såväl riksdag som regering sett i ljuset av att föråldrade
1.2Syfte och frågeställningar
Syftet med granskningen är att undersöka förekomsten av föråldrade
•Har myndigheterna vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
•Har regeringen vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Med att vidta tillräckliga åtgärder avser Riksrevisionen åtgärder som syftar
till att förebygga att systemen blir föråldrade såväl som åtgärder som vidtas för att reducera eller undanröja problem kopplade till att
blivit föråldrade.
1.3Bedömningsgrunder
Den övergripande utgångspunkten för granskningen är riksdagens och regeringens mål för digitalisering och för informations- och cybersäkerhet. Riksdagen har beslutat om målsättningen att Sverige ska vara bäst i världen på att använda digitaliseringens möjligheter.7 Regeringen har uttryckt att ”informations- och cybersäkerhetsarbete är en nödvändig verksamhet för att värna kvaliteten och effektiviteten hos samhällets funktioner och en förutsättning för att digitaliseringens möjligheter ska kunna tas tillvara”.8
Riksrevisionens bedömning utifrån målen är att myndigheterna ska digitalisera i så stor utsträckning som det är möjligt i de fall man bedömer att nyttan
5För ett hållbart digitaliserat Sverige — en digitaliseringsstrategi. Skr 2017/18:47, s. 31.
6Nationell strategi för samhällets informations- och cybersäkerhet, skr. 2016/17:213.
7Prop. 2011/12:1, utg. omr. 22, bet 2011/12:TU 1, rskr.2011/12:87.
8Skr. 2016/17:213, s. 6. Har behandlats av riksdagen i bet. 2017/18:FÖU4.
R I K S R E V I S I O N E N | 11 |
25
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
överstiger kostnaderna, samt att de system som finns i verksamheten ska vara tillfredsställande ur ett informationssäkerhetsperspektiv.
Det finns varken vad gäller digitalisering eller informationssäkerhet tydligt specificerade nivåer eller kvantifierade mål kring i vilken exakt omfattning myndigheter ska digitalisera eller vilken exakt nivå informationssäkerheten ska vara på. Tillgängliga resurser är inte oändliga och i slutändan så är det upp till respektive myndighet att göra en riskavvägning. Myndighetens ledning har dock ett krav på sig att verksamheten bedrivs effektivt samt att myndigheten hushållar väl med statens medel.9 Riksrevisionen delar därför
En utgångspunkt är att allt utvecklingsarbete ska vara väl förankrat i verksamhetsmål och underbyggt med goda beslutsunderlag. Offentliga organisationer behöver arbeta med målanalyser och koppla förslag till förändringsinsatser tydligare till verksamhetens mål i flera nivåer. Utveckling av verksamheten måste vara en naturlig del av chefers ansvar för verksamheten och grunda sig på en målbild för hur man önskar sig att verksamheten ska se ut. Stora krav finns därför också på att veta hur verksamheten ser ut i nuläget, det vill säga att mäta rätt saker för att ”ta tempen” på verksamheten. Det är i gapet mellan nuläge och målbild som förändringsbehovet kan definieras.10
Riksrevisionens granskning har därför i huvudsak varit inriktad mot att undersöka om myndigheterna har tagit ställning till hur föråldrade
1.har en uppfattning om hur
2.har processer för att löpande utvärdera hur väl
3.utifrån resultatet av ett arbete enligt de två ovan nämnda punkterna gör medvetna och uttryckliga ställningstaganden kring sina
4.lyfter de problem man inte själv kan hantera till regeringen.
Vad avser regeringen utgår granskningen från att regeringen genom sin styrning ska förverkliga riksdagens mål. Statlig förvaltning handlar enligt regeringen om
93 § myndighetsförordning (2007:515).
10
12 R I K S R E V I S I O N E N
26
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
att ge statliga myndigheter verktyg och förutsättningar för att kunna genomföra de beslut som regeringen och riksdagen har fattat.11 För att kunna uppnå detta krävs enligt Riksrevisionen att regeringen:
•har kunskap om omfattning och konsekvenser gällande förekomsten av föråldrade system i förvaltningen
•har kunskap om vilka orsaker till problemen som myndigheterna kan hantera själva och vilka som kräver insatser från regeringen
•utifrån problembilden säkerställer att myndigheterna faktiskt vidtar de åtgärder de själva råder över, eller vidtar åtgärder för att undanröja de hinder som myndigheterna inte själva kan hantera.
1.4Metod och genomförande
Granskningen har genomförts i tre olika moment. Granskningens inledande moment har bestått av fallstudier hos Pensionsmyndigheten och Skatteverket.
I nästa moment har erfarenheterna från fallstudierna använts för att konstruera en enkät som har skickats ut till total 64 myndigheter. Som ett tredje och sista moment har Riksrevisionen sedan skickat ett frågeformulär till Regeringskansliet för att undersöka vilken kunskap regeringen har kring föråldrade
Utöver dessa tre moment har Riksrevisionen även skickat ett antal frågor till de 64 myndigheter som har besvarat enkäten. Frågorna har handlat om huruvida myndigheterna har några föråldrade
Granskningen har genomförts av en projektgrupp bestående av projektledaren Marcus Pettersson och projektmedarbetarna Sara Gullbrandsson och Linnea
11
12
R I K S R E V I S I O N E N | 13 |
27
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Olander. Gustaf
ett granskningsupplägg som ett utkast till granskningsrapporten.
Företrädare för Regeringskansliet (Arbetsmarknadsdepartementet, Finansdepartementet, Infrastrukturdepartementet, Justitiedepartementet, Kulturdepartementet, Miljö- och energidepartementet, Näringsdepartementet, Socialdepartementet, Utbildningsdepartementet och Utrikesdepartementet), Pensionsmyndigheten och Skatteverket har fått tillfälle att faktagranska och
i övrigt lämna synpunkter på ett utkast till granskningsrapporten.
1.4.1 Fallstudier
Syftet med fallstudierna har varit att få en fördjupad kunskap om hur myndigheter hanterar föråldrade
en informationssäkrad digitalisering, samtidigt som de har en omfattande och komplex
en mångfald i valda lösningar. Genomförandet av fallstudier har syftat till att fördjupa kunskaperna kring problematiken med föråldrade
Utgångspunkten var från början att försöka göra en liknande undersökning som den brittiska revisionsmyndigheten13 och belysa tre tillvägagångssätt att hantera föråldrade
i verksamheten. Riksrevisionen bedömer dock samtidigt att de iakttagelser som
13National Audit Office: Managing the risk of legacy ICT to public service delivery, HC 539 session
14De tre tillvägagångssätten var att inte vidta några åtgärder, att förbättra och underhålla (man kan exempelvis bygga nya system eller applikationer runt om
14 R I K S R E V I S I O N E N
28
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
gjorts hos Pensionsmyndigheten och Skatteverket har varit tillräckliga för att uppfylla fallstudiernas syfte.
En granskning av hanteringen av föråldrade
I fallstudierna har förvaltningsplaner eller motsvarande dokumentation varit en central del av granskningen.15 Genomgången har även omfattat systemdokumentation, riskanalyser, beslut, underlag för nyttorealisering, strategiska planer och budgetunderlag med mera. Vi har även intervjuat nyckelpersoner på olika nivåer för att få deras uppfattning om hanteringen av
•operativ nivå i form av exempelvis objektspecialister eller
•beslutsnivå i form av förvaltningsledare
•budgetnivå i form av objektägare
•säkerhetsfunktionerna i form av
Minnesanteckningar från intervjuerna har jämförts sinsemellan utifrån vem som har varit respondent såväl som med den dokumentation som har begärts från myndigheten för att undersöka eventuell samstämmighet eller eventuella diskrepanser.
Fallstudierna har haft för avsikt att belysa såväl faktiska beslut som
i verksamheten.
De fördjupade kvalitativa fallstudier har bidragit med viktiga insikter till den kvantitativa undersökningen i form av enkät. Fallstudierna har även bidragit till ökad förståelse av de svar myndigheterna sedan har lämnat i enkäten.
15Pm3 är en modell för att organisera en styrbar och effektiv förvaltningsverksamhet. Utgångspunkten i pm3 är att styrning av verksamhetsprocesser och
en årlig förvaltningsplan som innehåller målen med förvaltningsverksamheten i förhållande till myndighetens övergripande mål, vilka åtgärder som behöver vidtas för att uppnå målen samt vilken budget som finns att tillgå. Efter verksamhetsåret följs planen upp och man fattar beslut om
en ny plan.
R I K S R E V I S I O N E N | 15 |
29
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
1.4.1.1 Pensionsmyndigheten
Det
i systemet och mycket av de nödvändiga beräkningarna sker utanför det egentliga
Pensionsmyndigheten kan sägas ha arbetat aktivt med att försöka förbättra hanteringen av bostadstillägg sedan 2012. Effektiviteten och kvaliteten
i hanteringen av förmånen var dock fortsatt under acceptabel nivå och förbättringsåtgärder var fortsatt nödvändiga. Under 2013 gjordes en analys av
i grunden men att det var både möjligt och rekommenderat att bygga vidare på befintligt system.19
16COBOL är ett programspråk som skapades 1959 och var på
17Intervju med företrädare för Pensionsmyndigheten
18Pensionsmyndigheten och Försäkringskassan, Pensionsmyndighetens systemstöd hos Försäkringskassan, Pensionsmyndigheten, 2012, s. 67.
19Pensionsmyndigheten, BTY/P1, Ny hantering av bostadstillägg Verksamhetsanalysrapport, PID139365, Pensionsmyndigheten, 2014, s. 5.
16 R I K S R E V I S I O N E N
30
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Efter ungefär två år av olika projekt kring hur det befintliga systemstödet och verksamhetsprocesserna skulle kunna förbättras meddelade Försäkringskassan att de inte längre kunde rekommendera en vidareutveckling av det befintliga BOTP. Frågan togs upp för beslut hösten 2016 på Pensionsmyndighetens ledningsgrupp och man förordade då att ta fram både en ny lösning för ärendehanteringen och en ersättare för BOTP i sin helhet. Beslut att utreda denna väg och avsluta övriga åtgärder togs.
Långsiktigt har vi diskuterat fyra huvudvägar för det långsiktiga systemet för bostadstillägg. En är att bygga på vårt befintliga system, enligt den modell vi gjort för övrig ärendehantering. Det är den lösning vi främst jobbat efter. Ett annat alternativ är att bygga om vårt system och inte bara bygger på det. En tredje väg är att bygga ett helt nytt system. Och en fjärde är att inte göra något alls.
Det visar sig dock att det blir mycket komplicerat och därmed dyrt och riskfyllt att bygga på det befintliga systemet, det vill säga den lösning vi främst jobbat på. Det krävs till exempel sex timmars test för varje utvecklingstimme, och därför är detta något som vår leverantör Försäkringskassan inte rekommenderar.
Som läget är nu, så framstår det som bäst att bygga ett nytt system – vilket man kan göra på olika sätt med eller utan Försäkringskassan. Det alternativet ska nu belysas fram till årsskiftet.20
Enligt uppgifter från Försäkringskassans
Den förstudie som sedan genomfördes landade i rekommendationer om att utveckla helt nya applikationer hos både Försäkringskassan och Pensionsmyndigheten.22 Det nya
1.4.1.2 Skatteverket
Fallstudien på Skatteverket har inte varit inriktad mot ett enskilt
20Pensionsmyndigheten, Utdrag från protokoll från ledningsgruppsmöte 20160908, Pensionsmyndigheten, 2016.
21Intervju med representant för Försäkringskassan
22Pensionsmyndigheten, Förstudierapport
23Pensionsmyndigheten står för utvecklingen av ärendehantering och processlogik och Försäkringskassan utvecklar beräkningsstödet.
R I K S R E V I S I O N E N | 17 |
31
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Beskrivningen har därmed inte heller samma detaljeringsgrad som för pensionsmyndigheten. De
Tina är ett system som i huvudsak har utvecklats under perioden 2011 till 2014. Tidigare fanns det ett femtontal olika tekniska applikationer som stöd för att handlägga inkomstbeskattningsärenden. De applikationerna byggdes under
i vilken ordning som Tinaapplikationen skulle expandera inom inkomstbeskattningsområdet på tre års sikt. Målet med uppdraget var även att säkerställa att Tina utvecklades på sådant sätt att applikationen skulle kunna användas som en generell plattform inom Skatteverkets verksamheter i framtiden.
24FÖNTAX = Förstudie nytt taxeringssystem.
25Fnys = Förnyelsen, skedde under
26Förnyelsearbetet pågick under 2004 och 2005 och indelades i uppdragen mottagning, uppföljning och urvalen. I det här arbetet ”föddes” filöverföringstjänsterna för kontrolluppgifter och näringsidkare.
27Inkomstdeklarationsblankett som används av aktiebolag, ekonomiska föreningar m.fl.
18 R I K S R E V I S I O N E N
32
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Under våren 2011 började projektet arbeta och Tina har varit i drift hos
Skatteverket sedan 2014.28
Folkbokföringens
En konsekvens av det valet är att endast marginella delar av Poff i praktiken har kunnat avvecklas. Då Poff trots detta till stor del har betraktats som föremål för avveckling har förvaltningen av systemet blivit nedprioriterad till att i princip endast omfatta vidmakthållande och lagtvingande anpassningar. Detta har i sin tur lett till en successivt ökande teknisk skuld och Poff är idag fortfarande
ett omodernt system som än mindre motsvarar verksamhetens behov och som dessutom på grund av stor teknisk skuld och omodern teknisk plattform börjar bli svårt att vidmakthålla.31
Dagens hantering av moms sker i huvudsak i
28Skatteverket, Huvudprojekt Tina, Sammanfattande slutrapport Etapp
29Skatteverket, Målarkitektur FbF, Skatteverket, 2018, s. 24.
30Utformning av en viss förbindelse mellan olika objekt. Hur man kommunicerar mellan olika mjukvarumoduler och/eller hårdvarumoduler.
31Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018, s. 5.
32Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2.
33Tidpunkt när support för hård- eller mjukvara som tillhandahålls av en extern part upphör.
R I K S R E V I S I O N E N | 19 |
33
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
nyttjas av handläggarna kvällstid, tas det ner för batchuppdatering34 av registren. Ur ett digitaliseringsperspektiv så är den allmänna uppfattningen inom Skatteverket att det inte bara är den tekniska plattformen som är föråldrad, utan även systemet är på väg att nå end of life inom en nära framtid. Kraven på mer realtidsbaserad information, ökade integrationer mot omvärlden, automatisering av tester etcetera skapar systemkrav som på sikt endast kan uppfyllas genom en systemförnyelse.35 Behovet av att se över dagens momshantering och ta fram nya möjligheter för såväl redovisning som intern hantering av ärenden bedöms därmed av Skatteverket som stort. Både externa krav och förväntningar på
en effektivare redovisning av moms och behov av intern förnyelse skyndar på utvecklingen.36
1.4.2 Enkät
I nästa moment har erfarenheterna från fallstudierna använts för att konstruera frågor till en enkät.37 Tanken med enkäten har varit att kartlägga omfattning och konsekvenser av föråldrade
34Bearbetning av stor datamängd (en batch) utan mänsklig medverkan. Körningen är alltså inte interaktiv.
35Skatteverket, Förstudierapport
36Skatteverket, Direktiv moms 1, Skatteverket, 2018, s. 2.
37Enkäten finns i sin helhet att ladda ner från Riksrevisionens webbplats.
38Det rör sig om totalt 64 myndigheter. Berörda myndigheter framgår av bilaga 1.
39De myndigheter som omfattas av förordningen om intern styrning och kontroll är samma myndigheter som är skyldiga att följa internrevisionsförordningen. Se 1 § förordningen (2007:603) om intern styrning och kontroll. Regeringens kriterier för att en myndighet ska omfattas av internrevisionsförordningen utarbetas av budgetavdelningen på Finansdepartementet och är uppdelade i väsentlighetskriterier och riskkriterier. Se Riksrevisionen, Internrevisionen vid myndigheter
– En funktion som behöver stärkas, RiR 2017:5, bilaga 1.
40Ekonomistyrningsverket, Myndigheters strategiska
20 R I K S R E V I S I O N E N
34
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
att vissa frågor bör besvaras av myndighetens ledning eller en övergripande stabsfunktion och vissa besvaras av myndighetens
Vad gäller resultaten har Riksrevisionen i avsnitt 3.5 och 4.2 valt att redovisa universiteten separat på grund av att de skiljer sig åt jämfört med övriga myndigheter.41 Universiteten kan sägas ha två
Myndigheternas svar på enkäten har även jämförts med de uppgifter som ESV har samlat in avseende myndigheternas
1.4.3 Frågeformulär och intervjuer på Regeringskansliet
Det tredje och sista momentet har omfattat regeringens styrning. För att undersöka vilken kunskap regeringen och Regeringskansliet har kring förekomsten av föråldrade
Regeringens agerande har även granskats genom dokumentstudier och intervjuer. De skriftliga underlag som innefattas i granskningen kopplat till regeringens styrning har varit propositioner, utredningsdirektiv, regeringsuppdrag, regleringsbrev, departementspromemorior och rapporter.
41I övriga avsnitt ingår universiteten i den redovisning som görs.
R I K S R E V I S I O N E N | 21 |
35
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
2 Förekomsten av föråldrade
Kapitel två beskriver förekomsten av föråldrade
2.1Effektivitetsperspektivet på föråldrade
Att i dagens samhälle bedriva en verksamhet utan någon form av
Föråldrade
42Ekonomistyrningsverket, Myndigheters strategiska
43Verksamhetslogik beskriver hur olika händelser och skeden förmodas hänga samman, från mål och resurser till verksamhet och från verksamhet till prestationer och effekter.
22 R I K S R E V I S I O N E N
36
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
varför så sker. Batchkörningar kan även innebära svårigheter att kontrollera och upprätthålla informationskvalitet på informationen i databaserna, exempelvis beroende på att systemet saknar verktyg för att söka och kontrollera felaktigheter.
Sammantaget innebär föråldrade
en risk för att man inte kan upprätthålla en nödvändig nivå avseende informationssäkerhet.
2.2Antal verksamhetskritiska system
I enkätutskicket ställde Riksrevisionen frågan om hur många verksamhetskritiska
Ett verksamhetskritiskt system definierades som ett
44Någon mer utförlig definition lämnades inte vilket också till viss del avspeglade sig i myndigheternas svar. Ett talande svar från en av myndigheterna är följande: ”Om vi med system menar större komponent som redigerar information och sannolikt har ett grafiskt gränssnitt där verksamheten kan utföra sitt arbete så blir det cirka 10 stycken. Ser vi mer till den totala miljön så handlar det om plus 100 komponenter och plus 300 integrationer.” Flera myndigheter har framfört att det går att problematisera kring såväl
R I K S R E V I S I O N E N | 23 |
37
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
2.3Förekomsten av föråldrade
Under den inledande fasen av granskningen ställde Riksrevisionen ett antal frågor till de 64 myndigheter som berörs av granskningen för att undersöka omfattningen av föråldrade system. Två av frågorna var:
•Finns det i verksamheten föråldrade/utdaterade system som fortfarande är i drift?
•Har myndigheten de senaste fem åren avvecklat och ersatt ett föråldrat/utdaterat system?
Av de 63 svar som inkom svarade ungefär 70 procent (45 stycken) att det fanns föråldrade system i drift hos myndigheten. Ytterligare ungefär 13 procent
(8 stycken) svarade att man inte hade något föråldrat/utdaterat
ett verksamhetskritiskt system/applikation som inte uppfyller verksamhetens krav på vad systemet skulle behöva prestera i nuläget i verksamheten.45 I svaren har myndigheterna därmed gjort en värdering av system och hur väl det presterar utifrån kärnverksamhetens behov. Svaren ger dock ingen ledning kring vilka de faktiska problemen är eller hur allvarliga de är. Det kan vara fullt rimligt att inte byta ut ett system även om det inte fyller alla behov verksamheten har. Ett sådant beslut kräver dock god inblick i vad systemet presterar och en uppfattning om vad som brukar kallas total cost of ownership, det vill säga alla kostnader som kan associeras med förvärvet, användningen och underhållet av en inköpt vara.46 Det kräver också kunskap om vilka alternativ det finns för att eventuellt ersätta med ett nytt system som på ett bättre sätt stödjer verksamhetens behov och vad det i sin tur skulle kosta.
2.4Förekomsten av problem i myndigheternas
I enkäten fick myndigheterna bedöma hur väl ett antal påstående stämde in med myndighetens totala
45I förfrågan som gick ut till myndigheterna användes begreppet legacysystem, vilket definierades som ett verksamhetskritiskt system/applikation som inte uppfyller organisationens krav på vad systemet skulle behöva prestera i nuläget i verksamheten. Det kopplas ofta till att systemet är gammalt men kan även bero på att systemet är specialanpassat/egenutvecklat, att det saknas support eller liknande.
46Se exempelvis
24 R I K S R E V I S I O N E N
38
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Diagram 1
Hur väl stämmer följande in på myndighetens totala
Procent | ||||||
100 | Stämmer inte alls | |||||
90 | ||||||
80 | Stämmer inte särskilt bra | |||||
70 | Stämmer ganska bra | |||||
60 | ||||||
Stämmer mycket bra | ||||||
50 | ||||||
40 | ||||||
30 | ||||||
20 | ||||||
10 | ||||||
0 | ||||||
Myndighetens |
Integration mellan system är svårt/fungerar dåligt | Problem i enskilda |
||||
Vad gäller myndigheternas totala
Utifrån arbetet med fallstudierna samt litteraturstudier kunde Riksrevisionen ta fram en kategorisering av vanliga problem förknippade med föråldrade
•brist på tillgång till rätt kompetens som kan förvalta
•att ett
•att systemdokumentationen är bristfällig (exempelvis inte uppdaterad eller saknas helt)
•att kostnaderna för att förvalta
•att
47I enkäten definierades spretig som en arkitektur som strävar i flera olika riktningar till förfång för helheten.
48Se sidan 31 nedan för ett mer utvecklat resonemang kring arkitekturstyrning och koordinering.
R I K S R E V I S I O N E N | 25 |
39
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
•att
•att det finns brister som gör det svårt att upprätthålla eftersträvad nivå på informationssäkerhet eller
Riksrevisionen ställde sedan frågor kring hur vanligt förekommande dessa problemen kopplade till föråldrade
Diagram 2 Problem kopplade till föråldrade it system.
Utgör följande omständigheter problem för myndighetens verksamhetskritiska
Procent | |||||||||
100 | Nej inte för något system | ||||||||
90 | |||||||||
80 | Ja för något eller några | ||||||||
70 | Ja för en majoritet | ||||||||
60 | |||||||||
50 | Ja för samtliga | ||||||||
40 | |||||||||
30 | |||||||||
20 | |||||||||
10 | |||||||||
0 | Tillgång till kompetens | End of life för externt tillhandahållet system | Bristfällig systemdokumentation | Ökande förvaltningskostnader | |||||
Diagram 3 Problem kopplade till föråldrade it system.
Utgör följande omständigheter problem för myndighetens verksamhetskritiska
Procent | |||||||||
100 | Nej inte för något system | ||||||||
90 | |||||||||
80 | Ja för något eller några | ||||||||
70 | Ja för en majoritet | ||||||||
60 | |||||||||
Ja för samtliga | |||||||||
50 | |||||||||
40 | |||||||||
30 | |||||||||
20 | |||||||||
10 | |||||||||
0 | |||||||||
Svårt att anpassa/förändra systemet | Svårigheter att hantera informations- |
||||||||
26 | R I K S R E V I S I O N E N |
40
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Av diagrammen framgår att samtliga sju problem förekommer för något eller några verksamhetskritiska system hos ungefär 60 till 90 procent av myndigheterna. De minst förekommande problemen är de som är kopplade till att ett
80 procent av myndigheterna problem med något eller några verksamhetskritiska
2.5Illustrativa exempel från fallstudierna
Båda myndigheterna har svarat att deras
i huvudsak monoliter51 och innehåller en stor mängd verksamhetslogik, det vill
49Att flytta över program, data eller hårdvara till någon annan tillämpning eller till någon annan plattform.
50Pensionsmyndigheten är en relativt nybildad myndighet men en stor del av
en ”avknoppning” från Försäkringskassan. Java är ett programspråk för att skapa datorprogram.
51Med monolit avses en applikation som har all funktionalitet i en och samma modul. En monolitisk applikation har oftast användargränssnitt, databasaccess, lätta och tunga funktioner (avkodning/beräkningar) etcetera i samma applikation. Motsatsen till en monolitisk arkitektur är en mikroservicearkitektur. Microservices (MSA) en variant av SOA
R I K S R E V I S I O N E N | 27 |
41
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
säga system är konstruerade som ett stort system som ska hantera allting och systemet är utformat och designat för att passa en viss specifik verksamhetsprocess. Av de utpekade problemen ovan förekommer alla
i varierande omfattning i systemen hos Skatteverket. Flera system är gamla och dokumentationen kring system är bristfällig. Det innebär i sin tur att det tar lång tid att lära sig hur systemet fungerar och därmed skapas kritiska personberoenden. Sättet på vilket systemen är byggda innebär att det är svårt att anpassa och förändra systemen och det innebär också att det är svårt att upprätthålla informationskvalitet. Motsvarande gäller även för Pensionsmyndigheten och BOTP. Systemets konstruktion och komplexitet innebär att man inte riktigt vet vad som händer när man gör förändringar
i systemet. Komplexiteten innebär i sin tur att varje förändring kräver
en oproportionerligt stor mängd tester. Systemen kan sägas ”tuffa på” utifrån hur de ursprungligen var tänkta att fungera men de är i praktiken mycket svåra att anpassa till en föränderlig verksamhet.
2.6Sammanfattande iakttagelser
Utifrån syftet med granskningen kan Riksrevisionen konstatera att det förekommer en stor mängd föråldrade
28 R I K S R E V I S I O N E N
42
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
3 Styrningen av myndigheternas
Kapitel tre beskriver den empiri som Riksrevisionen har samlat in med avseende på granskningens första revisionsfråga. Kapitlet är indelat i fem avsnitt och inleds med tre avsnitt som kopplar till granskningens tre huvudsakliga bedömningsnormer avseende myndigheterna. Därefter följer ett avsnitt som berör konsekvenserna av föråldrade
3.1Myndigheternas uppfattning om
En granskning av hanteringen av föråldrade
3.1.1 Digitaliseringsstrategi
Digitalisering handlar om mer än bara teknik och bör snarare ses som verksamhetsutveckling med stöd av digitala verktyg. Riksrevisionen har tidigare framfört att digitaliseringen måste kombineras med institutionella förändringar för att potentialen i de digitala tjänsterna ska kunna nyttjas på bästa sätt.53
En digital strategi används för att dels definiera vad digitalisering innebär för den specifika verksamheten, dels beskriva hur verksamheten kan använda digitalisering för att bli mer effektiv och i vissa fall mer konkurrenskraftig.54
52Se exempelvis Akenine, D., Kammerfors, E., Toftefors J., Olsson,
53Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 13.
54Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016, s. 30.
R I K S R E V I S I O N E N | 29 |
43
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Riksrevisionen har därför ställt ett antal frågor som rör myndigheternas eventuella digitaliseringsstrategier.
Diagram 4 Hur har myndigheten hanterat sina digitaliseringsfrågor?
Digitaliseringsfrågorna hanteras inte
i något dokument alls.
Myndigheten har inte någon separat
strategi men frågorna hanteras
i andra styrande dokument.
Bara i en separat digitaliseringsstrategi.
Både i en separat digitaliseringsstrategi
såväl som integrerat i andra
styrande dokument.
0 | 10 | 20 | 30 | 40 | 50 | 60 | 70 |
Procent
Riksrevisionen utgår från att ett lämpligt tillvägagångssätt är att myndigheterna hanterar digitaliseringsfrågor i såväl en separat strategi som integrerat i andra styrande dokument. Man kan samtidigt anföra att digitalisering är verksamhetsutveckling och att en framgångsfaktor därmed skulle vara att inte ha en separat strategi bara för digitalisering utan att i stället hantera digitalisering integrerat med övrig verksamhetsutveckling. Det är säkert en rimlig slutsats för en organisation med hög digital mognad, men Riksrevisionen anser att det finns ett värde med att även ta fram en separat strategi för att peka ut en riktning
i organisationer med en lägre digital mognad.55
Av diagrammet framgår att i stort sett alla myndigheter säger sig hantera digitalisering i styrande dokument, men mer än hälften av myndigheterna saknar en separat digitaliseringsstrategi. Riksrevisionen ställde även frågor om huruvida myndigheterna hade beaktat regeringens digitaliseringsstrategi och om myndigheterna hade brutit ner strategin i konkreta åtgärder för att uppnå målen med strategin. Av de myndigheter som besvarade frågorna hade 77 procent
(34 stycken) beaktat regeringens strategi och 60 procent (27 stycken) hade brutit ner strategin i konkreta åtgärder.
Som en avslutande fråga kopplad till digitaliseringsstrategi ombads myndigheterna att uppge om man ansåg sig ha tillräckliga förutsättningar att leva upp till de krav som följer av regeringen digitaliseringsstrategi.
55Se även Björkdahl, J., Wallin, M. W., Kronblad, C., Digitalisering − mer än teknik, Kartläggning av svensk forskning och näringslivets behov, Vinnova rapport VR 2018:06, Vinnova, 2018, s. 9.
30 R I K S R E V I S I O N E N
44
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Av svaren framgår att 43 procent av myndigheterna bedömer att de saknar tillräckliga förutsättningar för att leva upp till de krav som följer av regeringens digitaliseringsstrategi. Myndigheterna fick möjlighet att lämna fritextsvar med förtydliganden kring vilka hinder man upplever och då angavs bland annat resurser/finansiering, lagstiftning och juridiska förutsättningar, föråldrad teknik som skapar tekniska problem och avsaknad av en nationell digital infrastruktur som skapar bättre nationell standard/ramverk så offentliga aktörer och privata kan skapa bättre
3.1.2Verksamhetsarkitektur, stadsplan, målarkitektur och informationsklassning
It kräver, precis som vilken annan del av verksamheten som helst, styrning för att säkerställa att man producerar det bästa möjliga
i verksamhetsgrenar. Varje enhet har ofta sin egen agenda och mål och krav att uppfylla. Utifrån de olika delverksamheternas olika målbilder bedrivs ett återkommande förändringsarbete som naturligt också kommer att påverka och förändra systemlandskapet. I de fall organisationen saknar en gemensam plan och övergripande koordinering är risken stor att systemlandskapet på sikt blir oerhört komplext och fragmentiserat då framväxten skett i funktionella silos56 utifrån varje delverksamhets mål och krav. När omgivningen ändras och kanske kräver mer tvärfunktionell förmåga av organisationen kommer de suboptimeringar som införts göra sig påminda. Begränsningarna innebär att det kommer att kosta mer, ta längre tid och vara förknippat med större risk att genomföra förändringar
i systemlandskapet. Verksamheten blir lidande och får brottas med långa omställningstider och kvalitetsproblem. Ytterst kan det handla om att it blir ett hinder för fortsatt utveckling av verksamheten. Att moget planera och koordinera utvecklingen av systemlandskapet är därför viktigt.57
För att veta hur it kan understödja verksamheten på bästa sätt krävs därmed en bild av hur kärnverksamheten ser ut i form av olika processer, verksamhetsförmågor och liknande och hur verksamhetens utformning är tänkt att bidra till att uppnå de mål som finns för verksamheten. En sådan bild kan
56Med funktionella silos avses en uppdelad organisation där varje avdelning eller funktion arbetar utifrån det egna uppdraget utan koppling till en större helhet.
57Akenine, D., Kammerfors, E., Toftefors J., Olsson,
R I K S R E V I S I O N E N | 31 |
45
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
manifesteras i en verksamhetsarkitektur58, eller förenklat en form av sprängskiss över de olika delarna i verksamheten och hur de påverkar och understödjer varandra. Det finns en rad olika modeller för hur man skapar
en verksamhetsarkitektur och hur den kan se ut.59 Många av modellerna är vid en första anblick relativt komplicerade och kan normalt sett inte heller appliceras rakt av på en organisation. Riksrevisionen har därmed inte någon uppfattning kring vilka av dessa modeller som är mer eller mindre lämpliga, utan ser modellerna som ett möjligt stöd när man försöker skapa sin egen verksamhetsarkitektur. Att organisationen skapar sig någon form av verksamhetsarkitektur är dock närmast ofrånkomligt om man har som mål att säkerställa att it understödjer verksamheten på bästa sätt.60 Hur man går till väga eller hur verksamhetsarkitekturen ser ut i slutändan är dock förmodligen av mindre betydelse än att arbetet faktiskt sker. Hur omfattande och detaljerad
en sådan verksamhetsarkitektur bör göras är en avvägning mellan den arbetsinsats som krävs och den nytta man bedömer att en framtagen arkitektur faktiskt bidrar med.
Verksamhetsarkitekturen kan sedan brytas ner och på nästa nivå kan man arbeta med en högre detaljeringsgrad i form av vad som brukar kallas för stadsplan.61 En stadsplan är en översiktsbild av en verksamhets viktigaste system. Med hjälp av stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga utbredningen av den sammantagna portföljen av
58Verksamhetsarkitektur benämns ofta som Enterprise Architecture (EA). Verksamhetsarkitektur handlar om att ha en tydlig, gemensam bild av den verksamhet man arbetar i för att kunna fatta väl underbyggda beslut och arbeta så effektivt som möjligt. Det handlar om att förstå den affär verksamheten bedriver, vilka kunderna är och vilka behov de har, vilka mål som verksamheten har, hur man arbetar för att uppnå dessa mål, vilken information som måste hanteras för att kunna bedriva arbetet, samt vilket
en mängd olika verktyg för att beskriva dessa komplexa strukturer och deras samband. Verktygen är ofta olika typer av modeller som visuellt beskriver verksamheten och samband mellan olika delar (Jansson, A., Verksamhetsarkitektur, Strategi och praktik för effektivare företag, 2017, s. 13).
59Här kan som exempel nämnas TOGAF (the Open Group Architecture Framework), Zachmans ramverk, DoDAF (Department of Defense Architecture Framework) och FEA (Federal enterprise Architecture Framework).
60Se exempelvis Jansson, A., Verksamhetsarkitektur, 2017 eller Gong, Y., Janssen, M., The value of and myths about enterprise architecturer, International journal of information management, Volume 46, 2019, Pages
61En översiktsbild av en verksamhets viktigaste system. Den har en struktur och ordning som baseras på principer för arkitektur och är en förutsättning för översikt, prioritering och optimering. Med hjälp av stadsplanen är det möjligt att utveckla systemlandskapet (det vill säga utbredningen av den sammantagna portföljen av
62Akenine, D., Kammerfors, E., Toftefors J., Olsson,
32 R I K S R E V I S I O N E N
46
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Nästa steg är att arbeta med en målarkitektur som är en beskrivning av den arkitektur som organisationen bör sträva mot. Målarkitekturen och stadsplanen beskriver arkitektur på olika nivåer. Stadsplanen beskriver på en ganska hög nivå vilka förmågor, informationsbehov samt system som ska finnas och systemens roll i olika delar av verksamheten. Målarkitekturen beskriver systemen mer konkret men utan att gå ner på detaljer. Den arkitektur organisationen har idag är en nulägesarkitektur, vilken i princip aldrig är den mest optimala för organisationens behov. Organisationens behov har förändrats och arkitekturen har kanske inte hängt med. Kanske har arkitekturen aldrig varit helt anpassad efter verksamhetens behov. Målarkitekturen däremot är helt anpassad efter organisationens och verksamhetens behov, men den är en fiktiv pappersprodukt. Skulle målarkitekturen finnas i verkligheten skulle den stödja organisationens behov på det mest optimala sättet.63
Ovan nämnda saker utgör sådant som myndigheterna löpande måste förhålla sig till för att kunna bedöma hur föråldrat ett
Vad gäller övriga nödvändiga verktyg svarade myndigheterna följande:
Diagram 5 Frågor om stadsplan, målarkitektur och arkitekturstyrning.64
Procent 70
60
50
40
30
20
10
0
Har myndigheten en stadsplan | Har myndigheten tagit fram | Använder myndigheten |
eller en heltäckande systemkarta? | en styrande målarkitektur för it? | arkitekturstyrning i |
utvecklingsprocessen för it? |
63Akenine, D., Kammerfors, E., Toftefors J., Olsson,
64Arkitekturstyrning handlar om att övergripande vägleda, styra och följa upp utveckling och realisering av verksamhetens arkitektur inom ramarna för en bestämd process. En del handlar om att slå fast tillämpbara arkitekturstandarder och att hantera och följa upp undantag i
R I K S R E V I S I O N E N | 33 |
47
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Av diagrammet och texten ovan framgår att endast tio procent av myndigheterna har tagit fram en fullständig verksamhetsarkitektur och att mer än hälften av myndigheterna saknar en utgångspunkt eller struktur för sin utveckling i form av stadsplan och målarkitektur. Det är dock en större andel myndigheter som svarar att man använder arkitekturstyrning i utvecklingsprocessen av it men Riksrevisionen gör bedömningen att det förmodligen handlar om en begränsad form av arkitekturstyrning eftersom flera av myndigheterna som säger sig bedriva arkitekturstyrning saknar fullständig verksamhetsarkitektur, stadsplan och målarkitektur.
I den avslutande frågan som rörde arkitektur gavs myndigheterna möjlighet att i fritext besvara hur man säkerställer att utvecklingsprojekt följer eventuell målarkitektur eller referensarkitektur. Riksrevisionen har jämfört fritextsvaren för att se om myndigheterna beskriver en strukturerad process med någon form av godkännande i jämförelse med eventuell mål- eller referensarkitektur. Exempel på en sådan process kan vara en tvingande granskning av ett arkitekturråd. Av totalt 63 svar har Riksrevisionen bedömt att 25 av myndigheterna kan anses beskriva en sådan strukturerad process medan 38 myndigheter har svarat på ett sätt som tyder på att man inte har en sådan process.
Bilden att myndigheterna inte har alla nödvändiga verktyg på plats stärks också efter en genomgång av myndigheternas strategiska dokument. Myndigheterna uppger exempelvis att man behöver prioritera förenklingen av
i enlighet med framtagen målarkitektur och öka förståelsen för arkitekturens betydelse samt upparbeta ett ramverk för arkitektur. En myndighet beskriver exempelvis talande att
En ytterligare nödvändig förutsättning för att kunna förhålla sig till
en informationsklassning. I enkäten ställde Riksrevisionen därför frågor om huruvida myndigheterna har genomfört informationsklassning för sina verksamhetskritiska system.
65Sammanfattning av myndigheternas strategiska dokument, Riksrevisionen 2019.
34 R I K S R E V I S I O N E N
48
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Diagram 6 Har myndigheten genomfört informationsklassning för verksamhetskritiska
Procent 40
35
30
25
20
15
10
5
0
Ja för samtliga | Ja för en majoritet av | Ja, för något eller några | Nej, inte för något |
av |
av |
Av svaren framgår att ungefär två tredjedelar av myndigheterna har genomfört
en informationsklassning för samtliga eller en majoritet av de verksamhetskritiska systemen. Samtidigt har ungefär en tredjedel av myndigheterna inte genomfört en informationsklassning för åtminstone hälften av sina verksamhetskritiska system.
3.1.3 Illustrativa exempel från fallstudierna
Vid en genomgång av Skatteverkets
en informationscentrisk arkitektur.67 Riksrevisionen har inte haft möjlighet att i detalj granska hur varje eventuell utvecklingsinsats har förhållit sig till
66Enterprise architecture.
67Skatteverket, Vision SIBU – Sammanställt inkomstbeskattningsunderlag, Skatteverket, 2017, s. 3.
Med informationscentrisk avses en arkitektur som stödjer att informationen sätts i centrum snarare än en händelse eller en process. Strukturen för information är uppbyggd så att informationen blir tillgänglig för alla processer som behöver den.
R I K S R E V I S I O N E N | 35 |
49
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
en eventuell målarkitektur eller verksamhetsarkitektur. Utifrån de underlag Riksrevisionen har tagit del av angående Tina görs få om några kopplingar till verksamhetsarkitektur, målarkitektur, stadsplan eller liknande. De intervjuer Riksrevisionen har gjort ger en bild av att myndigheten delvis har kämpat med den övergripande
3.1.4 Sammanfattande iakttagelser
Av de 63 myndigheter som har besvarat enkäten uppger 42 procent att de saknar tillräckliga förutsättningar för att leva upp till regeringens digitaliseringsstrategi. Vidare har endast 10 procent av myndigheterna tagit fram en fullständig verksamhetsarkitektur. Hälften av myndigheterna saknar stadsplan och målarkitektur och en tredjedel av myndigheterna saknar informationsklassning för åtminstone hälften av sina verksamhetskritiska system. Sammantaget bedömer Riksrevisionen att ett stort antal myndigheter saknar tillräckliga förutsättningar för att kunna skapa en bild av hur
3.2Processer för att löpande utvärdera
Efter att myndigheterna har skaffat sig en bild av hur
en sådan process på plats. Avsnittets iakttagelser hänför sig till den andra bedömningsnormen (se avsnitt 1.3).
3.2.1 Systemförvaltning
Den löpande hanteringen av
36 R I K S R E V I S I O N E N
50
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
i produktion”.68 Vad man verkar vara överens om är att nyutveckling av
ett
En traditionell syn på it är att system noga bör planeras, köpas in eller byggas inom ramen för ett implementationsprojekt för att slutligen överlämnas till förvaltning. Förvaltning ansvarar för att hålla igång systemet och fixa mindre defekter. Det innebär att man skiljer på införandet av ny funktionalitet från drift och förvaltning.71
Idén bakom aktiv förvaltning är att samma grupp som påbörjar implementation av ett system också ansvarar för underhåll och förvaltning. Man utgår från att systemet kommer vara i ständig förändring och att de som varit med från början är bäst lämpade att ta det vidare.72
Valet av syn på förvaltning skapar över tid två olika miljöer och olika dynamik. Den traditionella modellen leder ofta till en stor investering, följt av en lång tid av uppehåll. När sedan antingen teknik eller krav förändrats tillräckligt tvingas en ny stor investering in. Detta brukar hanteras genom ett nytt projekt med syfte att ersätta det existerande systemet, ofta på en ny plattform eller med ny teknik, samt genom att åtgärda de brister och tillgodose de önskemål som det gamla systemet gett upphov till. Aktiv förvaltning har för avsikt att genom kontinuerlig investering dels löpande tillgodose önskemål om ny funktionalitet, dels åtgärda upptäckta defekter. Detta leder till en mer homogen
dyra uppgraderingsprojekt.73
Hur myndigheterna arbetar med sin systemförvaltning är därmed en viktig del av den totala
68
69Information Technology Infrastructure Library (ITIL) är en samling principer för hantering av
70COBIT är en förkortning för Control Objective for Information and Related Technology Standards och är en samling av generellt accepterade och applicerbara standarder för främst Informationsteknologi. En motsvarighet för den finansiella kontrollen finns i COSO
71Akenine, D., Kammerfors, E., Toftefors J., Olsson,
72Akenine, D., Kammerfors, E., Toftefors J., Olsson,
73Akenine, D., Kammerfors, E., Toftefors J., Olsson,
R I K S R E V I S I O N E N | 37 |
51
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
systemförvaltningsmodell och 72 procent av de myndigheter som har besvarat frågan (54 stycken) uppger att de använder sig av Pm3. Ytterligare cirka 20 procent säger sig använda en egen modell som hämtar inspiration från Pm3 eller
en kombination av Pm3 och ITIL och cirka 6 procent använder eller är på väg att börja tillämpa ett agilt ramverk i form av Scaled Agile Framework (SAFe).
Det mest centrala styrdokumentet inom Pm3 kallas förvaltningsplan.74 Utgångspunkten i Pm3 är att styrning av verksamhetsprocesser och
i förhållande till myndighetens övergripande mål, vilka åtgärder som behöver vidtas för att uppnå målen samt vilken budget som finns att tillgå. Efter verksamhetsåret följs planen upp och man fattar beslut om en ny plan.75
Utifrån den betydelse förvaltningsplanen har ställde Riksrevisionen därför ett antal frågor kring myndigheternas förvaltningsplaner.
Diagram 7 Omfattas verksamhetskritiska it system av en förvaltningsplan eller motsvarande dokument?
Procent 80
70
60
50
40
30
20
10
0
Ja, alla verksamhetskritiska | Ja, en majoritet av de | Ja, något eller några av de | Nej, inget av de |
verksamhetskritiska | verksamhetskritiska | verksamhetskritiska | |
I stort sett samtliga myndigheter upprättar förvaltningsplaner eller motsvarande dokumentation och uppdaterar dem även årligen.
74På AB, Pm3 – modellbeskrivning, På AB, 2017, s. 14f.
75På AB, Pm3 – modellbeskrivning, På AB, 2017, s. 18.
38 R I K S R E V I S I O N E N
52
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
3.2.2 Livscykelhantering
En livscykel kan definieras som de förändringar en produkt, en organism eller ett
Skatteverket har sammanfattat livscykelhantering på ett mycket förtjänstfullt sätt i nedanstående bild: 79
Figur 1 Livscykelhantering
Kopplingen till livscykeln för verksamhetsapplikationen
ostnad
I stödet börjar nyttjas värdet är högt.
I stödet ger inte längre det värde som det kostar.
Fortsatta investeringar går inte att motivera.
id
Bilden sammanfattar på ett enkelt sätt ett antal ställningstaganden kring nytta, kostnader, tekniska begränsningar, omvärldsförändringar med mera som löpande måste beaktas för att man ska kunna avgöra var i sin livscykel ett
76Jämför exempelvis begreppets betydelse inom biologi https://www.ne.se/uppslagsverk/encyklopedi/lång/livscykel.
77
78Riksrevisionen har i granskningen definierat livscykelplan som en långsiktig plan för hur ett
79Skatteverket, Avveckling och livscykelhantering, Skatteverket, 2014, s. 8.
R I K S R E V I S I O N E N | 39 |
53
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I S Y S E M – H I N D E R F Ö R E N E F F E I V D I G I A L I S E R I N G
Dm 8 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs?
Procent
100 | Nej ingår inte | ||||
90 | |||||
80 | Ja ingår | ||||
70 | |||||
60 | |||||
50 | |||||
40 | |||||
30 | |||||
20 | |||||
10 | |||||
0 | |||||
Möjliga/befintliga leverantörer | ompetens hos personalen | render i omvärlden | |||
Dm 9 Vilka perspektiv ingår i myndighetens livscykelhantering om sådan görs?
Procent
100 | Nej ingår inte | |||||
90 | ||||||
80 | Ja ingår | |||||
70 | ||||||
60 | ||||||
50 | ||||||
40 | ||||||
30 | ||||||
20 | ||||||
10 | ||||||
0 | ||||||
Verksamhetens krav i nuläget. | Verksamhetens framtida behov. | Omvärldens krav | eknik | |||
För att man ska kunna ta ställning till om ett
i livscykelhanteringen för mellan 40 och 60 procent av myndigheterna.
40 R I S R E V I S I O N E N
54
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
3.2.3
En ytterligare aspekt för att kunna ta ställning till om
Enligt de svar som myndigheterna har lämnat anser 61 procent av myndigheterna att man har möjlighet att bryta ner och fördela
3.2.4 Riskanalyser
Såväl verksamhet som omvärld förändras ständigt och det kan i sin tur få konsekvenser för myndigheternas
80Riksrevisionen, IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, Riksrevisionen, RiR 2011:4, 2011, s. 34.
81Ekonomistyrningsverket och numera Myndigheten för digital förvaltning har sedan 2014 bedrivit ett regeringsuppdrag kring
82Se exempelvis Ekonomistyrningsverket, TBM – en vägledning, Ekonomistyrningsverket, ESV 2018:52, 2018.
833 § förordningen (2007:603) om intern styrning och kontroll. För de myndigheter som inte omfattas av förordningen om intern styrning och kontroll gäller enligt 4 § 4 myndighetsförordningen (2007:515) att myndighetens ledning ska säkerställa att det vid myndigheten finns en intern styrning och kontroll som fungerar på ett betryggande sätt.
R I K S R E V I S I O N E N | 41 |
55
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
informationssäkerhetsarbete. Riksrevisionen ställde därför en fråga om hur myndigheterna arbetar med riskanalyser kopplat till sina verksamhetskritiska system.
Dm 10 Genomförs återkommande riskanalyser för verksamhetskritiska
Procent 40
35
30
25
20
15
10
5
0
Ja för samtliga | Ja för en majoritet | Ja för något eller några | Nej inte för något |
av |
av |
av |
Utifrån hur myndigheterna har besvarat frågan framgår att lite över 60 procent av myndigheterna genomför återkommande riskanalyser för en majoritet av sina verksamhetskritiska system. Samtidigt kan man konstatera att lite drygt
en tredjedel av de tillfrågade myndigheterna inte genomför återkommande riskanalyser avseende åtminstone hälften av sina verksamhetskritiska
3.2.5 Illustrativa exempel från fallstudierna
Både Pensionsmyndigheten och Skatteverket har tillämpat Pm3 som förvaltningsmodell. Utifrån iakttagelserna i fallstudierna verkar dock ingen av myndigheterna egentligen har tillämpat Pm3 på det sätt som modellen är tänkt att fungera. Båda myndigheterna tycks ha minimerat sin förvaltning både resursmässigt och åtgärdsmässigt och det verkar inte vara i förvaltningen de viktiga besluten har fattats. Båda myndigheterna representerar en traditionell syn på förvaltning snarare än en aktiv. Skatteverket genomför en form av övergripande livscykelhantering som främst rör tekniska aspekter men en proaktiv livscykelhantering utifrån verksamhetens behov och omvärldens förändringar verkar inte göras. Vad gäller MomsAG så framgår av Skatteverkets egen förstudie att det inte finns någon roadmap/livscykelplan för systemet. Vad gäller folkbokföringen kom man visserligen kom fram till att systemet inte skulle
42 R I K S R E V I S I O N E N
56
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
utvecklas mer men där har man mer eller mindre ägnat sig åt ”livsuppehållande åtgärder” i 20 års tid.84
Pensionsmyndigheten har inte haft någon egentlig livscykelhantering vad avser BOTP. Myndigheten har saknat insyn i systemet och har därmed haft små möjligheter att påverka. Samtidigt verkar myndigheten till viss del har accepterat att inte ha insyn. Försäkringskassan tog 2014 fram en modell för att bedöma teknisk skuld och dess påverkan på organisationen. Modellen samlar ett stort antal parametrar som är nödvändiga för att fatta beslut om systemet men verkar inte
i sig själv utgöra ett ställningstagande. Vad gäller BOTP så tycks Försäkringskassan mer har låtit systemet rulla på snarare än att man har fattat ett uttryckligt beslut. Detta trots att man har varit medveten om systemets brister under en längre tid.
3.2.6 Sammanfattande iakttagelser
Nästan alla myndigheter tillämpar en systemförvaltningsmodell. Ett stort antal myndigheter har dock ett väldigt smalt och otillräckligt perspektiv på livscykelhantering. Många har otillräcklig kunskap om
3.3 M | h | ä |
- | m |
Till en början kan konstateras att ungefär två tredjedelar av de tillfrågade myndigheterna saknar en beslutad modell för livscykelhantering. Myndigheterna upprättar livscykelplaner för hårdvara (cirka 80 procent) i högre utsträckning än för mjukvara (cirka 60 procent). Riksrevisionen ställde också frågor om förekomsten av såväl som kvaliteten på livscykelplaner för verksamhetskritiska system.
84Se Skatteverket, Förstudierapport
R I K S R E V I S I O N E N | 43 |
57
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Dm 11 För hur många av myndighetens verksamhetskritiska it system finns det en livscykelplan/roadmap?
Procent 40
35
30
25
20
15
10
5
0
För samtliga | För en majoritet | För något | Inte för något | Vet ej |
eller några | system alls |
Dm 12 Bedömer myndigheten att framtagna livscykelplaner innebär en tillfredsställande livscykelhantering utifrån kärnverksamhetens behov?
Procent
35
30
25
20
15
10
5
0
Ja för samtliga |
Ja för en majoritet av | Ja för något eller några | Nej inte för något |
som har en livscykelplan | de |
av de |
|
en livscykelplan | en livscykelplan |
Av svaren framgår att ungefär 40 procent av myndigheterna har tagit fram en livscykelplan för samtliga eller en majoritet av de verksamhetskritiska systemen. Samtidigt saknar ungefär 55 procent av myndigheterna livscykelplaner för åtminstone hälften av sina verksamhetskritiska system. Ungefär 60 procent av myndigheterna bedömer att livscykelhanteringen är otillfredsställande för åtminstone hälften av myndighetens verksamhetskritiska system. Anmärkningsvärt är att nästan 30 procent av myndigheterna anser att
44 R I K S R E V I S I O N E N
58
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
livscykelplanen inte innebär en tillfredsställande hantering för något verksamhetskritiskt system.
Ett ställningstagande kräver också att det finns ett dokumenterat beslutsunderlag. Riksrevisionen har därför ställt frågor kring vad myndigheterna dokumenterar
i eventuella livscykelplaner. Av svaren framgår att användning, systemberoende och kortsiktiga mål och aktiviteter dokumenteras i ungefär 70 procent av fallen. Historiska kostnader, långsiktiga planer, riskanalyser och systemets hälsa dokumenteras i mycket lägre utsträckning.85
Riksrevisionen har även gått igenom förvaltningsplaner för de båda fallstudiemyndigheterna såväl som för ytterligare sex myndigheter som bifogade förvaltningsplaner tillsammans med övriga strategiska dokument.
I förvaltningsplanerna berörs för vissa myndigheter kortsiktiga mål och planer för
3.3.1 Illustrativa exempel från fallstudierna
Vad avser Pensionsmyndigheten så saknas livscykelperspektivet vad gäller BOTP i stort sett helt. Förvaltningsplanerna för BOTP hos Pensionsmyndigheten har inte något egentligt livscykelperspektiv och kan inte ses som något ställningstagande kring systemet. De tjänar som underlag för vilka åtgärder som ska vidtas under året. Vad gäller Skatteverket så finns hänvisningar
i förvaltningsplanerna till livscykelplaner för vissa av systemen. Livscykelplanerna är dock väldigt övergripande i form av just en bedömning var i livscykeln systemet befinner sig. Inriktningen är teknisk och en mer omfattande bedömning kring hur väl systemet uppfyller kärnverksamhetens nuvarande såväl som eventuellt framtida behov saknas. Att verksamhet såväl som it ska ta ett gemensamt ägarskap som inkluderar
en bedömning av behovet idag såväl som i morgon verkar inte ske. Vad avser båda myndigheterna så är dock Riksrevisionens bedömning att man verkar ha insett behovet av att hela tiden bedöma
85Historiska kostnader dokumenteras i ungefär 20 procent av fallen, långsiktig plan med mål,
aktiviteter och resursbehov i 48 procent av fallen, riskanalys avseende risker kopplade till
av fallen.
R I K S R E V I S I O N E N | 45 |
59
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
3.3.2 Sammanfattande iakttagelser
Närmare hälften av myndigheterna saknar livscykelplaner för ett stort antal system och två tredjedelar saknar en beslutad modell för livscykelhantering. Dokumentationen kring livscykelhanteringen är begränsad hos många myndigheter. Utifrån de iakttagelser Riksrevisionen har gjort i förvaltningsplanerna hos totalt 8 myndigheter kan inte heller förvaltningsplanerna sägas utgöra ett uttryckligt och medvetet ställningstagande kring föråldrade
3.4 K | f å | - m |
Syftet med granskningen är att undersöka om förekomsten och myndigheternas hantering av föråldrade
i ganska stor eller mycket stor utsträckning. Problemen fördelar sig relativt jämnt mellan att härröra från enskilda system eller från myndigheternas totala
3.4.1 Illustrativa exempel från fallstudierna
På Pensionsmyndigheten har man haft stora problem med sin hantering av bostadstillägg som till stor del kan kopplas till
en kontinuerlig och bred livscykelhantering kommer att ha stor påverkan på myndighetens fortsatta digitalisering under lång tid.
46 R I K S R E V I S I O N E N
60
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
3.5 Ö p m | m h |
Utifrån en bedömning av hur stor förekomsten av problem som förknippas med föråldrade
•inga problem
•svårigheter med ett mindre antal system
•svårigheter med ett stort antal system.
De två senare kategorierna har även delats upp utifrån om myndigheterna har uppgett att problemen försvårar deras fortsatta digitaliseringsarbete.86 Universiteten (15 stycken) har exkluderats och ingår inte i denna kategorisering, utan redovisas separat.
T b 1 Kategorisering av myndigheter.
m | h | |
Inga problem | 6 | |
Svårigheter med ett mindre antal system – ej digitaliseringspåverkan | 11 | |
Svårigheter med ett mindre antal system – digitaliseringspåverkan | 4 | |
Svårigheter med ett stort antal system – ej digitaliseringspåverkan | 9 | |
Svårigheter med ett stort antal system – digitaliseringspåverkan | 19 | |
Universitet87 | 15 | |
Riksrevisionen ser att 3188 av 49 myndigheter89, utgör en riskgrupp utifrån att
•myndighetens fortsatta digitaliseringsarbete försvåras av problem i enskilda
•majoriteten av de omständigheter som listas i enkäten utgör ett problem för något eller några av myndighetens verksamhetskritiska
•minst en av de omständigheter som listas i enkäten utgör ett problem för en majoritet eller samtliga av myndighetens verksamhetskritiska
86”Digitaliseringspåverkan”/”ej digitaliseringspåverkan”.
87I gruppen ingår totalt 15 universitet. Av dessa kan 1 universitet kategoriseras som inga problem,
9 som svårigheter med ett mindre antal system och 5 som svårigheter med ett stort antal system.
7 av universiteten har svarat att den fortsatta digitaliseringen försvåras av problem i enskilda
88Riskgruppen består egentligen av 32 myndigheter men en myndighet föll bort i det frågeunderlag som tillsändes regeringskansliet.
89Här är universiteten exkluderade.
R I K S R E V I S I O N E N | 47 |
61
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
De mönster som presenteras angående samvariationer i avsnittet ska tolkas med stor försiktighet. Hur myndigheternas
3.5.1
Det går att urskönja ett mönster i att de myndigheter som inte upplever svårigheter har lägre andel
I kategorin svårigheter med ett stort antal system – digitaliseringspåverkan återfinns därmed i stort sett samtliga av de största myndigheterna frånsett Arbetsförmedlingen och Polismyndigheten. Dessa två myndigheter bryter trenden avseende samvariationen mellan storlek och omfattning på problem och de har utifrån givna enkätsvar en väsentligt mycket mer gynnsam situation än myndigheter av motsvarande storlek. Det blir ännu mer anmärkningsvärt i ljuset av att båda myndigheterna har uttryckt stora problem med sin
Myndigheter som uppgett att de inte har några problem har i högre utsträckning en modell för att bryta ner
i enskilda
90Verksamhetens kostnader, inklusive avskrivningar.
91Andelen är 83 procent för myndigheterna i kategorin inga problem.
92Andelen är 53 procent för myndigheterna i kategorin svårigheter med ett mindre antal system och 61 procent för myndigheter i kategorin svårigheter med ett stort antal system.
93En modell saknas i 50 procent av fallen.
94En modell saknas i 17 procent av fallen.
95En modell saknas i 30 procent av fallen.
48 R I K S R E V I S I O N E N
62
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
3.5.2 Komplex
Ett annat mönster som kan utläsas ur enkätsvaren rör
Dm 13 Svårigheter utifrån kategori.
Andel som anser att integration är svårt/problematisk
Andel som anser
att arkitekturen är spretig
Andel som anser
att miljön är komplex
Andel som bedömer
att man inte har förutsättningar
0 | 20 | 40 | 60 | 80 | 100 |
Universitet | Svårigheter med ett större antal system | Procent | |||
Svårigheter med ett mindre antal system | Ej problem |
Av svaren på enkäten framgår att universiteten och myndigheter i kategorin svårigheter med ett stort antal system är de som i högre utsträckning anser att man har en komplex
I kategorin inga problem har hälften av myndigheterna svarat att man inte anser sig ha tillräckliga förutsättningar, vilket vid en första anblick kan te sig märkligt. I kategorin ingår dock endast 6 myndigheter och för två av de tre myndigheterna som säger sig sakna förutsättningar anges omständigheter utanför myndighetens kontroll som förklaring.
R I K S R E V I S I O N E N | 49 |
63
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
3.5.3 Livscykelhantering
Nästa mönster som kan utläsas ur enkätsvaren rör livscykelhantering.
Dm 14 Livscykelhantering utifrån kategori.
Andel som inte gör livscykelplaner för
mjukvara
Andel som inte gör livscykelplaner för
hårdvara
Andel som bedömer att
livscykelplaner ej är tillfredsställande
för ett stort antal system
Andel där det fattas livscykelplan i
stor utsträckning
0 | 20 | 40 | 60 |
Universitet | Svårigheter med ett större antal system | ||
Svårigheter med ett mindre antal system | Ej problem |
80 Procent
De myndigheter som uppger att man inte har några problem gör i högre utsträckning än övriga kategorier livscykelplaner och livscykelhantering. Livscykelhanteringen är också enligt svaren mest bristfällig hos de myndigheter som har störst problem.
3.5.4 Stadsplan, målarkitektur och arkitekturstyrning
Ett ytterligare mönster som kan utläsas av enkätsvaren berör de verktyg som myndigheterna behöver för att skapa sig en bild av hur
Dm 15 Målarkitektur, stadsplan och arkitekturstyrning utifrån kategori.
Andel som saknar
målarkitektur
Andel som saknar
stadsplan
Andel som inte använder
arkitekturstyrning
0 | 10 | 20 | 30 | 40 | 50 | 60 | 70 | 80 | |
Universitet | Svårigheter med ett större antal system | Procent | |||||||
Svårigheter med ett mindre antal system | Ej problem | ||||||||
50 | R I K S R E V I S I O N E N |
64
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Vad avser målarkitektur, stadsplan och arkitekturstyrning är det svårt att se några tydliga mönster bara genom att jämföra svaren mellan de olika kategorierna. Vad gäller målarkitektur är frånvaron av en sådan på ungefär samma nivå i alla kategorier. Kategorien myndigheter som inte har problem sticker ut på så sätt att fler myndigheter säger sig ha en stadsplan och samtliga myndigheter säger sig tillämpa arkitekturstyrning.
3.5.5 Informationsklassning och riskanalyser
Ett sista mönster som kan utläsas ur enkätsvaren rör informationsklassning och riskanalyser.
Dm 16 Informationsklassning och riskanalyser per kategori.
Andel som inte genomför återkommande riskanalys för en majoritet av sina system
Andel som inte gjort informationsklassning för en majoritet
av sina system
0 | 10 | 20 | 30 | 40 | 50 | 60 |
Universitet | Svårigheter med | Svårigheter med | Ej problem | Procent | ||
ett större antal system | ett mindre antal system |
Av svaren framgår att hälften av myndigheterna i kategorin inga problem har genomfört informationsklassning för mindre än hälften av sina verksamhetskritiska system. Motsvarande gäller även avseende att genomföra återkommande riskanalyser. Om myndigheterna inte har genomfört dessa åtgärder är det svårt att veta om
R I K S R E V I S I O N E N | 51 |
65
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
4 Regeringens styrning
Avsnittet beskriver regeringens styrning och vidtagna åtgärder, både på ett mer övergripande plan avseende digitalisering och utifrån vilka åtgärder man vidtagit specifikt kopplat till föråldrade
4.1 Ö | p å ä f |
Regeringen har vidtagit ett antal åtgärder kopplat till digitalisering. Man har nyligen inrättat Myndigheten för digital förvaltning (DIGG) som en generell åtgärd för att förbättra styrningen och samordningen samt uppföljningen av den offentliga förvaltningens digitalisering. Regeringen har också tillsatt
en expertgrupp för digitala investeringar96 för att bistå utvalda myndigheter i deras strategiska
Man har vidare gett uppdrag till Bolagsverket, Lantmäteriet, Skatteverket och Myndigheten för digital förvaltning99 om att lämna förslag som syftar till att skapa en säker och effektiv tillgång till grunddata, genom att bland annat tydliggöra ansvaret för grunddata och öka standardiseringen samt lämnat uppdrag till Bolagsverket, Domstolsverket,
Regeringskansliet har också genomfört interna kompetenshöjande aktiviteter för att förbättra medarbetarnas kunskap om it och digitalisering generellt.
96Numera en del av Myndigheten för digital förvaltnings uppdrag (dir. 2017:62 samt tilläggsdirektiv 2017:118). Se 13 § förordningen (2018:1486) med instruktion för Myndigheten för digital förvaltning.
97N2016/01642/EF
98Numera en del av Myndigheten för digital förvaltnings uppgifter.
99Fi 2018/03036/DF
100Fi2018/03037/DF
101Svar från Regeringskansliet
52 R I K S R E V I S I O N E N
66
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Aktiviteterna har även syftat till att öka kännedomen om stöd för uppföljning och dialog med myndigheterna vad gäller myndigheternas it och digitalisering.
4.2 R | p | m p b mb | h |
å | ä |
Avsnittet beskriver svaren på det frågeformulär rörande de
64 enkätmyndigheterna som Regeringskansliet har lämnat till Riksrevisionen, samt svaren från enkäten där myndigheterna fick ange om man hade haft någon dialog med ansvarigt departement kring frågor som rör problem med verksamhetskritiska
4.2.1 Kunskap om förekomsten av föråldrade
Vad gäller de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp har departementen endast kunskap om att det finns föråldrade
(15)av dessa. Samtliga av de myndigheter som med departementens vetskap har föråldrade
i myndighetens totala
3 myndigheters digitaliseringsarbete försvåras inte (ej digitaliseringspåverkan).
Omvänt så innebär det att för 17 av myndigheterna i riskgruppen har departementen inte kunskap om att det finns föråldrade
4.2.2 Kunskap om konsekvenserna av föråldrade
Det finns enbart för fyra av de 31 myndigheterna i riskgruppen detaljerad kunskap om vilka konsekvenser förekomsten av utdaterade
Vad gäller de 23 myndigheter som uppgett att deras fortsatta digitaliseringsarbete försvåras av problem i enskilda
102Departementen har inte besvarat denna fråga för 16 av myndigheterna; det hänger ihop med att de uppgett att de inte sett att det finns föråldrade
R I K S R E V I S I O N E N | 53 |
67
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
för myndighetens fortsatta digitalisering eller för möjligheten att upprätthålla en nödvändig nivå av informationssäkerhet. För nio av myndigheterna finns övergripande kunskap om konsekvenser.103
4.2.3 Dialog mellan regeringen och myndigheterna
21 av de 31 myndigheter som Riksrevisionen kategoriserat som riskgrupp uppger att de haft en dialog med ansvarigt departement kring frågor som rör problem med verksamhetskritiska
en dialog. Departementen har svarat att 13 av de 31 myndigheterna i riskgruppen på eget initiativ tagit upp problem kopplade till utdaterade
Departementen och myndigheterna har en samsyn i frågan om att de haft en dialog i 18 av fallen, och i samtliga fall handlar det om myndigheter med svårigheter med ett stort antal system och som har digitaliseringspåverkan.104
I 12 fall har departementen och myndigheterna olika syn på om de haft en dialog eller inte, och i samtliga fall utom 1 handlar det om myndigheter som är
i kategorin ”svårigheter med ett stort antal system”.105
Departementen har efterfrågat specifik information kring föråldrade
Enbart i ett av fallen (Transportstyrelsen) har dialogen mellan myndigheterna och departementen om frågor som rör föråldrade
4.2.4 Undanröja eller reducera problemen
Departementen har enbart för 1 av de 31 myndigheterna i riskgruppen (Transportstyrelsen), i de fall de fått information kring problem kopplade till föråldrade
103Departementen har inte besvarat denna fråga för 10 av myndigheterna. Det hänger ihop med att de uppgett att de inte sett att det finns föråldrade
104I 11 av fallen har både departementet och myndigheten uppgett att man har haft en dialog. I 7 har både departementet och myndigheten uppgett att man inte har haft någon dialog.
105I två fall har myndigheterna inte besvarat frågan.
106För 3 av myndigheterna har frågan inte besvarats eller så har det inte varit aktuellt att efterfråga sådan information.
107I 24 fall finns ingen dokumentation och i 5 fall har frågan inte besvarats.
54 R I K S R E V I S I O N E N
68
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
i största möjliga mån. För 19 av myndigheterna uppges att departementen haft en löpande dialog med myndigheten. I tio fall har frågan inte besvarats, detta trots att departementet för tre av myndigheterna angivit att det finns utdaterade
4.2.5 Universiteten
Vad gäller de 15 universiteten har departementet inte i något fall uppgett att de har kunskap om att det finns föråldrade
108Departementen har inte för något av universiteten besvarat frågan om huruvida de har kunskap om vilka konsekvenser förekomsten av utdaterade
R I K S R E V I S I O N E N | 55 |
69
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
5 Slutsatser och rekommendationer
Kapitlet beskriver de slutsatser Riksrevisionen har dragit utifrån den empiri som presenteras i avsnitt två, tre och fyra. Kapitlet är indelat i fyra avsnitt. Först berörs frågan om förekomsten av föråldrade
Därefter följer ett avsnitt som behandlar den första revisionsfrågan om huruvida myndigheterna har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Sedan följer att avsnitt som behandlar den andra revisionsfrågan om huruvida regeringen har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Sist kommer ett avsnitt som behandlar Riksrevisionens rekommendationer.
5.1 | m | f å | - m |
Granskningen visar att det finns föråldrade
Det faktum att föråldrade
en undanträngning av myndighetens innovationsförmåga. Det blir färre resurser över till att ta till sig ny digital teknik och att utveckla och anamma nya och mer effektiva
10946 procent.
56 R I K S R E V I S I O N E N
70
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Föråldrade
ett informationssäkerhetsperspektiv.
Riksrevisionens slutsats är sammantaget att problemet med föråldrade
5.2 M h | å ä |
Riksrevisionens övergripande slutsats är att ett flertal myndigheter inte har vidtagit tillräckliga åtgärder för att hantera problematik kopplad till föråldrade
Riksrevisionen är medveten om att verksamhetsutveckling som rör föråldrade
Avsaknaden av livscykelplaner tyder vidare på att myndigheterna inte på
ett strukturerat och systematiskt sätt har fattat medvetna och uttryckliga beslut om hur problemen med system som blivit föråldrade ska reduceras eller undanröjas.
5.2.1Myndigheternas uppfattning om hur
En första utgångspunkt i Riksrevisionens bedömning av om myndigheterna gjort tillräckligt är att de bör ha en uppfattning om vilka mål verksamheten ska uppnå,
R I K S R E V I S I O N E N | 57 |
71
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
bör ha organiserat sig för att uppnå de målen och till slut avsatt resurser som för arbetet för att uppnå målen. Riksrevisionen menar att man bara kan sägas bedriva systemutveckling och systemförvaltning på ett strukturerat och systematiskt sätt om man faktiskt har möjlighet att bedöma hur väl
Utifrån iakttagelserna i kapitel 2 drar Riksrevisionen slutsatsen att en stor del av de undersökta myndigheterna inte har eller använder de verktyg som behövs. Det innebär i sin tur man får svårigheter att analysera och förstå hur förändringar påverkar verksamhetens mål och det blir därmed också svårare att definiera
ett framtida önskvärt läge.
Det kan noteras att ungefär 70 procent av myndigheterna svarar att
en arkitektur som strävar i flera olika riktningar till förfång för helheten (spretig arkitektur). I en heterogen
en målarkitektur är därmed centralt för att vidmakthålla och utveckla en
De iakttagelser Riksrevisionen har gjort kring myndigheternas bristande arbete med digitaliseringsstrategier kan även de vara en förklaring till att många myndigheter brottas med en
5.2.2Myndigheternas processer för att löpande utvärdera hur väl
En andra utgångspunkt för ett effektivt arbete är att myndigheten måste ha processer för att löpande utvärdera hur väl
58 R I K S R E V I S I O N E N
72
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
slutsatsen att en stor del av de undersökta myndigheterna inte har sådana processer.
Riksrevisionen kan konstatera att i stort sett samtliga myndigheter har
en fastställd förvaltningsmodell och att en övervägande del använder Pm3. Det räcker dock inte med att ha en förvaltningsmodell, den måste tillämpas på rätt sätt också. Pm3 kan tjäna som illustrativt exempel. Tanken är att Pm3 ska vara
en struktur där utveckling och förvaltning styrs gemensamt av kärnverksamheten och
ett löpande underhåll för att upprätthålla funktionalitet fram till dessa att systemet ersätts. Detta avviker från idealet där man snarare ska utgå ifrån att
Riksrevisionens bedömning är att en sådan dynamik förmodligen är vanligt även hos de myndigheter som ingår i granskningen. Den slutsatsen stärks av de svar myndigheterna har lämnat kring hur man bedriver livscykelhantering. De perspektiv Riksrevisionen anser vara rimliga att löpande ta hänsyn till och göra bedömningar mot i sin livscykelhantering saknas i livscykelhanteringen för mellan 40 till 60 procent av myndigheterna. Det enda perspektivet som
en övervägande majoritet av myndigheterna beaktar är det rent tekniska. Utifrån frågorna kring vad myndigheterna dokumenterar i sina livscykelplaner stärks slutsatsen ytterligare.
Lite drygt en tredjedel av myndigheterna genomför återkommande riskanalyser endast för något eller några verksamhetskritiska system eller inga alls. Motsvarande andel myndigheter saknar möjlighet att bryta ner
R I K S R E V I S I O N E N | 59 |
73
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
5.2.3 Myndigheternas ställningstaganden kring sina
Den tredje och sista utgångspunkten är att myndigheten utifrån sin utvärdering av hur väl
Närmare 60 procent av myndigheterna saknar livscykelplaner för annat än något eller några verksamhetskritiska system, samtidigt som ungefär 60 procent av myndigheterna bedömer att framtagna livscykelplaner innebär
en tillfredsställande livscykelhantering utifrån kärnverksamhetens behov endast för något, några eller inget av de verksamhetskritiska systemen.
Nästan alla myndigheter använder sig av årliga förvaltningsplaner eller motsvarande dokument men dessa planer har normalt sett just ett årligt perspektiv, och det saknas livscykelplaner och underlag för livscykelplanerna
i form av utvärderingar av systemets ändamålsenlighet utifrån kärnverksamhetens behov. Riksrevisionen upplever att det finns ett glapp mellan systemförvaltning och nyutveckling av
5.3 R | å ä |
Riksrevisionens bedömning är att Regeringen har vidtagit en del övergripande åtgärder kring digitalisering i stort, som indirekt kan ha positiva effekter på frågan om föråldrade
60 R I K S R E V I S I O N E N
74
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
mot föråldrade
5.3.1Regeringens kunskap om omfattning, orsaker och konsekvenser
Utifrån svaren på det frågeformulär som Riksrevisionen skickat till Regeringskansliet kan konstateras att de ansvariga departementen och därmed även regeringen saknar tillräcklig kunskap om såväl förekomsten som konsekvenserna av föråldrade
Vid en jämförelse mellan de svar som myndigheterna har lämnat kring eventuell dialog och de svar Regeringskansliet har lämnat framgår att myndigheterna och Regeringskansliet har olika uppfattning om huruvida dialog har förekommit eller inte för ett antal myndigheter. Avsaknaden av dokumentation omöjliggör dock att vidare undersöka vad skillnader i uppfattning kring vilken dialog som har förts kan bero på. Det är även uppenbart att det finns ett antal fall där myndigheterna inte verkar ha tagit upp frågan på eget initiativ och där departementet inte heller har efterfrågat information. Riksrevisionens slutsats är därmed att den dialog som har genomförts inte har varit ändamålsenlig för att fånga upp problemen med föråldrade
R I K S R E V I S I O N E N | 61 |
75
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
5.3.2Regeringens åtgärder för att säkerställa att problemen undanröjs
Företrädare för Regeringskansliet har vid samtal med Riksrevisionen påtalat att regeringen inte utövar styrning av myndigheterna på ett sätt som innebär att man talar om för myndigheterna hur de ska utforma sin
Den svenska förvaltningsmodellen bygger på att myndigheterna i stor utsträckning lämnas att utforma sin verksamhet under eget ansvar. Ansvaret att se till att
Utifrån de iakttagelser Riksrevisionen har gjort under granskningen verkar regeringen vara omedveten om den aggregerade risk som föråldrade
110Se exempelvis Digitaliseringsrådet i rapporten En lägesbild för digital kompetens eller Innovationsrådet i Tänka nytt för att skapa värde – Om perspektivskiften i offentlig verksamhet. SOU 2013:40.
111SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 153.
112SOU 2018:72, Expertgruppen för digitala investeringar, slutrapport, s. 152.
62 R I K S R E V I S I O N E N
76
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
förknippade med föråldrade
5.4 R | mm |
Riksrevisionen riktar rekommendationer till de granskade myndigheterna och regeringen.
Rekommendationer riktade till myndigheterna
Myndigheterna bör ta fram och använda de verktyg som behövs för att bedöma hur
Myndigheterna bör ha en process för att löpande utvärdera hur väl
Myndigheterna bör utifrån en sådan process göra uttryckliga och medvetna ställningstaganden kring sin
Rekommendationer riktade till regeringen
Regeringen bör överväga att ta fram ett stöd för myndigheterna för att underlätta för dem att arbeta effektivt med problemen kring föråldrade
Regeringen bör ge lämplig aktör i uppdrag att följa och utvärdera frågor kopplade till föråldrade
R I K S R E V I S I O N E N | 63 |
77
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
64 R I K S R E V I S I O N E N
78
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Referenslista
L
Akenine, D., Kammerfors, E., Toftefors J., Olsson,
Björkdahl, J., Wallin, M. W., Kronblad, C., Digitalisering − mer än teknik,
Kartläggning av svensk forskning och näringslivets behov, Vinnova rapport
VR 2018:06, Vinnova, 2018.
Computer Sweden,
Dataföreningen, ”Systemförvaltning 2.0”, https://dfs.se/wp-
Ekonomistyrningsverket, Myndigheters strategiska
Ekonomistyrningsverket, TBM – en vägledning, Ekonomistyrningsverket,
ESV 2018:52, 2018.
Gartner, ”IT Glossary”,
Gong, Y., Janssen, M., The value of and myths about enterprise architecturer, International journal of information management, Volume 46, 2019, Pages
Jansson, A., Verksamhetsarkitektur, 2017.
National Audit Office, Managing the risk of legacy ICT to public service delivery,
National Audit Office, HC 539 Session
Nationalencyklopedin, ”Uppslagsverket livscykel”, https://www.ne.se/uppslagsverk/encyklopedi/lång/livscykel, hämtad
Pensionsmyndigheten, BTY/P1, Ny hantering av bostadstillägg
Verksamhetsanalysrapport, PID139365, Pensionsmyndigheten, 2014.
Pensionsmyndigheten, Förstudierapport
Pensionsmyndigheten och Försäkringskassan, Pensionsmyndighetens systemstöd hos Försäkringskassan, Pensionsmyndigheten, 2012.
Pensionsmyndigheten, Utdrag från protokoll från ledningsgruppsmöte 20160908, Pensionsmyndigheten, 2016.
På AB, pm3 – modellbeskrivning, På AB, 2017.
R I K S R E V I S I O N E N | 65 |
79
Skr. 2019/20:82
Bilaga
F Ö R Å L D R A D E I T - S Y S T E M – H I N D E R F Ö R E N E F F E K T I V D I G I T A L I S E R I N G
Regeringskansliet, ”Statlig förvaltning”, http://www.regeringen.se/regeringens-
Riksrevisionen, Den offentliga förvaltningens digitalisering– En enklare, öppnare och effektivare förvaltning?, RiR 2016:14, Riksrevisionen, 2016.
Riksrevisionen, Internrevisionen vid myndigheter – En funktion som behöver stärkas, Riksrevisionen, RiR 2017:5, bilaga 1, 2017.
Riksrevisionen, IT inom statsförvaltningen - har myndigheterna på ett rimligt sätt prövat frågan om outsourcing bidrar till ökad effektivitet?, Riksrevisionen,
RiR 2011:4, 2011.
Skatteverket, Avveckling och livscykelhantering, Skatteverket, 2014.
Skatteverket, Direktiv moms 1, Skatteverket, 2018.
Skatteverket, Ersätta och avveckla POFF, Skatteverket, 2018.
Skatteverket, Förstudierapport
Skatteverket, Hur stödjer årlig beskattning en föränderlig verksamhet,
Skatteverket, 2017.
Skatteverket, Huvudprojekt Tina, Sammanfattande slutrapport Etapp
Skatteverket, 2015.
Skatteverket, Målarkitektur FbF, Skatteverket, 2018.
Skatteverket, Vision SIBU – Sammanställt inkomstbeskattningsunderlag,
Skatteverket, 2017.
United States Government Accountability Office, Information Technology — Federal Agencies Need to Address aging Legacy Systems, United States Government Accountability Office,
Kommittédirektiv, En expertgrupp för digitala investeringar, dir. 2017:62.
Kommittédirektiv, Tilläggsdirektiv till Expertgruppen för digitala investeringar, dir. 2017:118.
R
bet. 2017/18:FÖU4, Informationssäkerhet för samhällsviktiga och digitala tjänster.
Prop. 2011/12:1, Budgetpropositionen för 2012, utg. Omr. 22, bet 2011/12:TU 1.
Skr 2016/17:213, Nationell strategi för samhällets informations- och cybersäkerhet.
Skr 2017/18:47, För ett hållbart digitaliserat Sverige — en digitaliseringsstrategi.
66 R I K S R E V I S I O N E N
80
Skr. 2019/20:82
Bilaga
E N G R A N S K N I N G S R A P P O R T F R Å N R I K S R E V I S I O N E N
Bilaga 1. Granskade myndigheter
1. | Arbetsförmedlingen | 35. | Sveriges Lantbruksuniversitet |
2. | Boverket | 36. | Tillväxtverket |
3. | Svenska ESF Rådet | 37. | eHälsomyndigheten |
4. | Finansinspektionen | 38. | Försäkringskassan |
5. | Fortifikationsverket | 39. | Inspektionen för vård |
6. | Kammarkollegiet | och omsorg | |
7. | Kronofogden | 40. | Läkemedelsverket |
8. | Lantmäteriet | 41. | Pensionsmyndigheten |
9. | Länsstyrelsen i Västra Götaland | 42. | Socialstyrelsen |
10. | Riksgäldskontoret | 43. | Statens Institutionsstyrelse |
11. | Skatteverket | 44. | Centrala studiestödsnämnden |
12. | Statens fastighetsverk | 45. | Göteborgs universitet |
13. | Statens servicecenter | 46. | Karlstads universitet |
14. | Statens tjänstepensionsverk | 47. | Karolinska Institutet |
15. | Statistiska centralbyrån | 48. | Kungliga Tekniska Högskolan |
16. | Tullverket | 49. | Linköpings universitet |
17. | Luftfartsverket | 50. | Linnéuniversitetet |
18. | Sjöfartsverket | 51. | Luleå tekniska universitet |
19. | Statens energimyndighet | 52. | Lunds universitet |
20. | Trafikverket | 53. | Malmö universitet |
21. | Transportstyrelsen | 54. | Mittuniversitetet |
22. | Domstolsverket | 55. | Myndigheten för |
23. | Kriminalvården | yrkeshögskolan | |
24. | Migrationsverket | 56. | Skolverket |
25. | Myndigheten för samhällsskydd | 57. | Specialpedagogiska |
och beredskap | skolmyndigheten | ||
26. | Polismyndigheten | 58. | Stockholms universitet |
27. | Åklagarmyndigheten | 59. | Umeå universitet |
28. | Kulturrådet | 60. | Universitets- och högskolerådet |
29. | Havs- och vattenmyndigheten | 61. | Uppsala universitet |
30. | Naturvårdsverket | 62. | Örebro universitet |
31. | Bolagsverket | 63. | Styrelsen för internationellt |
32. | Skogsstyrelsen | utvecklingssamarbete | |
33. | Statens Jordbruksverk | 64. | Svenska kraftnät |
34.Sveriges geologiska undersökning
R I K S R E V I S I O N E N | 67 |
81
Skr. 2019/20:82
Bilaga
FÖRÅLDRADE
Riksrevisionen har granskat förekomsten av föråldrade
Motivet till att genomföra granskningen har varit att både riksdag och regering tillmäter digitaliseringen stor betydelse i kombination med att föråldrade
Granskningen visar att det finns föråldrade
Granskningen visar att regeringens arbete med digitalisering på ett övergripande plan indirekt kan ha haft positiva effekter på problemen med föråldrade
Riksrevisionen rekommenderar därför myndigheterna att utveckla sitt sätt att arbeta med föråldrade
ISSN
ISBN
Beställning: www.riksrevisionen.se
riksrevisionen
nybrogatan 55, 114 90 stockholm
82
Skr. 2019/20:82
Infrastrukturdepartementet
Utdrag ur protokoll vid regeringssammanträde den 6 februari 2020
Närvarande: statsminister Löfven, ordförande, och statsråden Johansson, Baylan, Hallengren, Hultqvist, Andersson, Bolund, Damberg, Shekarabi, Ygeman, Eriksson, Ekström, Eneroth, Dahlgren, Ernkrans, Lind, Hallberg, Nordmark, Micko
Föredragande: statsrådet Ygeman
Regeringen beslutar skrivelse 2019/20:82 Riksrevisionens rapport om föråldrade
81