Publicerat 2013-12-20 12:20

Statskontoret om PUST-Siebel

Nu har den femtioelfte utredningen om PUST-Siebel kommit med sitt resultat. Det är inte heller denna gång någon nådig kritik som Statskontoret levererar beträffande styrningen av IT-utvecklingen hos Polisen. Bland annat har användarna inte involverats tillräckligt och konsulter har använts utom kontroll. Detta i en verksamhet som kostar fem% av Polisens budget

Statskontoret skriver i sin utredning bland annat:

Rikspolisstyrelsens IT-verksamhet är omfattande. År 2013 omsluter IT-budgeten cirka 1,3 miljarder kronor, det vill säga 5 procent av Polisens anslag. De senaste åren har Rikspolisstyrelsen genomfört enomfattande satsning på IT-verksamheten, där en allt större andel avbudgeten har lagts på utveckling av nya IT-stöd.

 

Utvecklingsbudgeten är ungefär 450 miljoner kronor och budgeten för drift och förvaltning är cirka 900 miljoner kronor.

 

En IT-strategi som beslutades år 2009 har varit utgångspunkten för denna satsning. Statskontoret har i sin granskning utgått från IT-strategin och genomförandet av denna.

 

IT-strategin har varit alltför ambitiös

Rikspolisstyrelsen har ett antal styrdokument på plats, ordnade i en tydlig styrkedja som har sin grund i IT-strategin. I praktiken har dock IT-strategin endast haft en begränsad betydelse för utvecklingen av IT-verksamheten. Den huvudsakliga anledningen till detta är att IT-strategin har varit alldeles för omfattande i förhållande till Rikspolisstyrelsens förmåga att leverera färdiga IT-stöd. Arbetet med att prioritera mellan olika initiativ har inte fungerat och det har inte funnits utrymme för att hantera nya behov och krav, exempelvis nya EU-direktiv. Styrdokumenten, så som IT-handlingsplanen, har inte uppdaterats i takt med att styrmodellerna har förändrats.

 

Sammantaget står Rikspolisstyrelsen långt från att nå de mål som enligt IT-

strategin ska nås senast år 2015.

 

Den övergripande organisationen har lett till förseningar

och svårigheter att prioritera

IT-organisationen har under det senaste året förändrats vid upprepade tillfällen, delvis som en anpassning för att kunna fokusera på de aktiviteter som krävs för att Polisen ska stå färdig inför sammanslagningen av polismyndigheterna och Rikspolisstyrelsen den 1 januari 2015.

Till och med maj 2013 hade en IT-stab det sammanhållande ansvaret för IT-strategin. Vi har konstaterat att mycket kritik har riktats mot IT-staben, bland annat för att inte i tillräckligt stor utsträckning ha haft ett verksamhetsperspektiv. De förefaller inte heller ha förmått att prioritera mellan utvecklingsalternativen.

 

Vi har också konstaterat att Rikspolisstyrelsen i stor utsträckning har präglats av en beslutsgång som brister på grund av kulturfrågor. Detta har lett till att förhandlingslösningar i alltför hög grad har efterfrågats inom IT-verksamheten, både på övergripande nivå och i enskilda projekt. Dessutom har problem många gånger eskalerats inom organisationen. Detta har lett till att besluten i ett stort antal fall har behövt fattas av ledningspersoner som inte kan förväntas ha detaljerad kunskap om beslutens innebörd.

 

Parallella styrprocesser försvårar för samsyn och effektivitet

Rikspolisstyrelsen tillämpar inom ramen för verksamhetsutvecklingen

ett antal olika styrprocesser. Några av dem har av olika funktioner inom Rikspolisstyrelsen betecknats som alltför administrativt krångliga och har därför kompletterats av andra, dock utan att det har klarlagts hur gränssnitten mellan processerna ser ut. Rikspolisstyrelsenhar valt att bedriva utvecklingsprocessen i fyra separatasteg: behovsanalys, utveckling, införande och mottagande. Dessa steg drivs utan krav på hur kompetensöverföringen ska ske mellan de olika stegen. Det finns ingen uttalad roll i organisationen som håller samman processen från början till slut.

 

Utvecklingsmedel har omdisponerats mellan projekt på grund av bristande budgetplanering

IT-budgeten i sin helhet har inte överskridits sedan IT-satsningen påbörjades, utan när budgeten i enskilda projekt inte har hållits har om­disponeringar mellan projekt förhandlats fram. En orsak till att enskilda projektbudgetar inte har hållit är att alla projekt har budgeterats efter ett lågkostnadsscenario.

En sprucken budget har sällan fått några andra konsekvenser för projekten, incitamenten för att hålla budgeten har således varit låga. Projekt som har dragit över budgeten har inte stoppats då Rikspolisstyrelsen bedömt att alltför stora investeringar ofta redan har gjorts.

Flera samverkande faktorer har lett till svårigheter attanpassa nya IT-stöd till verksamhetens behov

Polisen har ett stort behov av IT-stöd, vilket bland annat kan förklaras av att polisverksamheten omfattar många olika delar. Verksamheten bedrivs också på olika sätt, vilket enligt Rikspolisstyrelsen har försvårats av att mandatet att styra polismyndigheterna är litet i den nuvarande organisationsformen. Förutsättningarna för Polisen att arbeta på ett

likartat sätt ökar när den sammanhållna Polismyndigheten träder i kraft den 1 januari 2015. Att verksamheten fungerar olika har dock hittills lett till att det har varit svårt för Rikspolisstyrelsen att anpassa IT-stöden, vilket ofta har lett till förseningar i utvecklingsarbetet. Rikspolisstyrelsen anger dessutom att det är besvärligt att anskaffa kompetens som inte bara vet hur verksamheten fungerar i den egna polismyndigheten. Även svårigheterna att prioriera har lett till att flera nya IT-system inte har levererats i tid, vilket innebär att polismyndigheterna i stor utsträckning tvingas använda otidsenliga system.

 

Kompetensbehovet har i hög grad lösts med hjälp av konsulter

Rikspolisstyrelsen har bedrivit ett aktivt kompetensförsörjningsarbete, men resultatet har varierat. Det har exempelvis i vissa fall varit svårt att rekrytera med konkurrenskraftiga villkor och att omskola medarbetare internt. Rikspolisstyrelsen har av den anledningen ett stort behov av att använda konsulter. Rikspolisstyrelsen har hanterat detta genom att teckna avtal med en co-sourcingpartner, vilket bland annat torde ha förenklat upphandlingsprocessen. Med hjälp av co-sourcingpartnern har Rikspolisstyrelsen med relativt kort varsel fått tillgång till extern kompetens i form av konsulter och outsourcingalternativ. Detta ställer också krav på god leverantörsstyrning. Ett stort konsultberoende har lett till att konsulter sitter på ett antal nyckelpositioner inom Rikspolisstyrelsen. Rikspolisstyrelsen har vidtagit vissa åtgärder för att minska konsultberoendet i projektverksamheten.

Det finns dock konsulter som har suttit på sådana funktioner under lång tid, vilket är ett tecken på att det inte har vidtagits tillräckliga åtgärder för att minska konsultberoendet på nyckelpositioner.

 

Risker har inte omhändertagits i tillräckligt hög utsträckning

Rikspolisstyrelsen identifierar risker inom IT-verksamheten på flera nivåer, i synnerhet inom projekten. Det är dock inte i samma utsträckning klart hur de identifierade riskerna har hanterats. I flera fall finns det tecken på att riskerna inte har hanterats. Exempelvis har risker i kompetensförsörjningen och i beroendet mellan olika utvecklingsprojekt inte hanterats i tillräcklig grad.

När polisdatalagen (2010:361) trädde i kraft i mars 2012 medgav riksdagen att Polisen skulle få tillämpa vissa övergångsbestämmelser till i januari 2015. Motivet var att ge Rikspolisstyrelsen tid att genomföra nödvändiga anpassningar i datasystemen. Rikspolisstyrelsen har dock inte fullt ut kunnat leverera dessa anpassningar på grund av förseningar i utvecklingen av nya IT-

stöd och har i oktober 2013 begärt förlängning av övergångsbestämmelserna.

Rikspolisstyrelsen har också vid flera tillfällen drabbats av förseningar på grund av att de formella säkerhetskraven inte har omhändertagits i utvecklingen av nya eller anpassade IT-stöd. Det kan exempelvis vara fråga om krav på loggning av aktiviteter i IT-stödet. Bland orsakerna till de bristande säkerhetsanalyserna är att kraven inte är tillräckligt definierade och att det finns brister i kunskaperna kring hur säkerhetsnivåerna påverkar kraven på systemen.

 

Flera åtgärder är nödvändiga

Statskontoret pekar i rapporten på att ett antal som kan förbättra förutsättningarna för styrningen av IT-verksamheten framöver.

−Behov av att någon tar ett helhetsansvar för IT-verksamheten

. Denne bör kunna bidra med djup IT-kunskap för att möjliggöra för Polisens tekniska utveckling. Samtidigt bör Polisen förstärka möjligheterna att fånga användarnas behov.

 

−Polisen bör även etablera en strategisk beslutsprocess i vilken det

ingår att besluta om mål och att förstärka förmågan att besluta om prioriteringar. I en sådan process bör det ingå att kunna hantera en flerårig planeringscykel och att möjliggöra för kontinuerlig omprövning.

 

−En gemensam verksamhetsutvecklingsmodell måste etableras och tillämpas. Samtliga styrmodeller bör vara etablerade och dokumenterade, för att kunna tillämpas på ett enhetligt sätt av både den egna personalen i olika verksamhetsgrenar och konsulter.

 

−Polisen har ett behov av att stärka leverantörsstyrningen genom att utveckla kompetensen bland de egenanställda för att säkerställa förmågan att hantera konsulter och externa leverantörer. Polisen bör i det sammanhanget på nytt utreda vad som ska hanteras internt respektive av konsulter.

 

−Polisen bör utveckla arbetet med att omhänderta de identifierade riskerna.

Det finns även ett behov av att i större utsträckning identifiera risker som beror på projektberoenden. Transparensen i riskhanteringsprocessen bör öka.

 

Hela rapporten kan läsas här.

 
Även Computer Sweden och SvD har skrivit i ämnet - De har haft ett öga på PUST-Siebel länge nu.