RAPPORT IT-övergripande 2012.pdf - Region Halland

regionhalland.se

RAPPORT IT-övergripande 2012.pdf - Region Halland

www.pwc.com/se

Region Halland

Översiktlig granskning

av IT-verksamheten

Redovisning av väsentliga iakttagelser

December 2012

Andreas Crusell

Martin Magnusson


Innehållsförteckning

1. Bakgrund

2. Revisionsfråga och kontrollmål

3. Metod för granskning

4. Sammanfattning

5. Nuläge – en kort sammanfattning

6. Detaljerad analys – observationer och rekommendationer

PwC

2


1. Bakgrund till projektet

Bakgrund

Landsting blir alltmer beroende av sina informationssystem. IT utgör en viktig komponent för fungerande och effektiva

verksamhetsprocesser. Vidare spelar IT-verksamheten en viktig roll i patientsäkerhetsarbetet, inom Region Halland exempelvis

journalsystemet VAS. En ändamålsenlig IT-verksamhet som baseras på grundläggande styrprinciper och en väl fungerande teknisk

och funktionell plattform är en viktig förutsättning för en effektiv och säker verksamhet.

Inom ramen för revisionsarbetet inom Region Halland har en genomgång av IT-verksamheten utförts. Syftet var att granska

huruvida IT-verksamheten matchar verksamhetens behov där även IT- och informationssäkerheten ingår som ett väsentligt

område, som översiktligt analyseras. Denna granskning kan liknas vid en förstudie.

PwC

3


2. Revisionsfråga och kontrollmål

Revisionsfråga

Följande revisionsfråga ska besvaras inom ramen av granskningen:

- Säkerställs att användningen av IT-verksamhetens resurser är organiserad, strukturerad och kontrollerad för att ge en välavvägd

IT-leverans och därigenom utgöra ett ändamålsenligt verksamhetsstöd?

Kontrollmål

Den övergripande granskningen av IT-verksamheten är översiktlig och ska utgå från bland annat följande kontrollmål:

- IT-leveransen är anpassad till verksamheterna.

- Det finns ett strukturerat arbete för att säkerställa en god IT- och informationssäkerhet.

- Det finns styrande dokument framtagna och kommunicerade.

- Processen för framtagande av IT-budget och uppföljning av den är dokumenterad och strukturerad samt att mätningar och

värderingar av IT-stödet genomförs kontinuerligt.

- IT-arkitekturen följer IT-strategin i stort.

- Tekniken är anpassningsbar för förändrade behov och förutsättningar i verksamheten.

- Strategiska applikationer och verksamhetssystem är ändamålsenliga och kostnadseffektiva.

- Det finns en tydlig ansvarsfördelning som klargör relationen mellan IT och verksamheten.

- IT-driften är ändamålsenligt strukturerad och kontrollerad, t ex att det finns en förståelse avseende på vilket sätt data sparas och

hanteras (backup).

Vidare inkluderas en översiktlig granskning av status i utvecklingsprojektet VAS+ som har ett separat avsnitt i rapporten. Vidare

har vi gjort en uppföljning av rapporten ”Granskning av IT-utrustning, program, licenser från december 2010” där uppföljningen

har gjorts i intervjuer med respondenterna och eventuella avvikelser noteras bland övriga punkter.

PwC

4


3. Metod för granskning

Granskningen har genomförts primärt baserat på interjuver med berörda personer inom IT samt utvalda verksamhetspersoner inom

ledning och systemförvaltning/utveckling samt granskning av viss dokumentation . Till grund för granskningen har verktyget ITM

(IT Management) använts som innehåller relevanta frågor och best practice för generell IT-verksamhet inom områdena strategi, ITleverans,

teknologi, personal samt system och applikationer (se tabell nedan).

IT-strategi

IT-leverans

Teknologi

Personal

System och

applikationer

PwC

Vad krävs för att säkerställa att IT-strategin stödjer verksamheten på bästa sätt? Hur skall

verksamheten hantera och styra IT? (Se avsnitt 6.1)

Är användningen av resurser organiserad, strukturerad, analyserad och kontrollerad för att ge

optimal IT-leverans och ett optimalt verksamhetsstöd? Hur mäts och värderas IT-stödet? (Se

avsnitt 6.2)

Följs trender inom teknologi, är IT-arkitekturen effektiv och anskaffas teknologi på det mest

effektiva sättet? Hur anpassningsbar är tekniken till förändrade behov och förutsättningar i

verksamheten? (Se avsnitt 6.3)

Hur hanteras personal i relation till IT (kompetens, attityder, relationsförmåga, processer och

effektivitet)? (Se avsnitt 6.4)

Är applikationer och IT-system ändamålsenliga och kostnadseffektiva, ger de tillräckliga

beslutsunderlag och vilka ytterligare behov finns? (Se avsnitt 6.5)

Vår övergripande genomgång skall ej ses som en fullständig genomlysning av regionens IT-verksamhet, varför det kan finnas

områden med brister som ej identifierats. Vidare har vi avgränsat granskningen till att omfatta central IT samt Hallands sjukhus.

För sammanfattande slutsats och detaljerade kommentarer per område, se efterföljande sidor. Enligt vår uppfattning kan

införandet av våra rekommendationer i avsnitt 6 leda till ökad effektivitet avseende IT som verksamhetsstöd.

För att säkerställa att nödvändiga förändringar får önskvärd effekt och att resultatet medför de förbättringar de syftar till krävs

en omsorgsfull planering och tydlig styrning. Dels måste olika aktiviteter införas i rätt ordning och dels är en nyanserad samt

tydlig kommunikationsplan en förutsättning.

5


3. Metod för granskning, forts.

Granskningen har utförts genom intervjuer med följande personer inom Region Halland samt genomgång av regionens

dokumentation och annat relevant material. Sammanlagt har 20 representanter inom regionen deltagit vid intervjuer (se tabell

nedan). Faktaavstämning har gjorts av förvaltningschef, chef RGS IT, eRådets ordförande samt objektsägare Vård familjen.

PwC

Namn Funktion/Roll Förvaltning, enhet

Erik Möller Förvaltningschef Regionservice

Barbro Eliasson Chef Regionservice IT Regionservice

Solweig Rydmarker Vård-IT Strateg Utvecklingsavdelningen

Susanne Christiansson IT-specialist VAS Regionservice

Marie Rosengren Förvaltningsledare VAS Regionservice

Ellen Samuelsson Objektspecialist Obstetrix Hallands sjukhus

Mats Sundqvist Förvaltningsledare Obstetrix/läkare Hallands sjukhus

Sven-Olof Nyman Medicinteknik Verksamhetschef Medicinsk Teknik

Ingemar Moran Medicinteknik systemtekniker Medicinsk Teknik

Kjell Larsson Administrativa system Regionservice

Annette Gröndal Objektsspecialist VAS Regionservice

Ingegerd Nordström IT-specialist VAS Regionservice

Ingela Larsson Objektsspecialist VAS Regionservice

Lars-Anders Rothman Ekonomidirektör Regionkontoret

Magnus Åberg Avdelningschef Service Desk Regionservice

Kent-Åke Henricson Objektsspecialist VAS/läkare Regionservice

Anne Nöjd Objektsägare vårdsystem Regionservice

Thomas Persson IT-specialist Obstetrix/tekniker Regionservice

Henrik Ljungberg Teknisk Controller Regionservice

Göran Lindh Stab Hallands sjukhus Hallands sjukhus

6


4. Sammanfattning

Vi har identifierat flera områden med förbättringspotential där de viktigare områdena kort nämns nedan. För en mer översiktlig

förståelse avseende granskningen, läs även kommentarer till kontroll- och revisionsmål på kommande sidor.

Strategi

Region Halland följer CeHis (center för eHälsa i samverkan) nationella strategi för eHälsa. Vid vår granskning har vi noterat att det

saknas handlingsplaner på längre sikt för hur Region Halland skall följa denna strategi (det finns detaljerade verksamhetsplaner på

ett års sikt). Vi tror att detta arbete skapar en än tydligare struktur avseende vilka projekt och områden som regionen skall satsa på

samt se till att det finns tillräckliga resurser för att hantera dem.

Ledning och styrning

Vid vår granskning har vi noterat att rollen IT-direktör ej finns kvar sedan februari 2012 och att flera respondenter på olika nivåer

inom organisationen upplever att det saknas ett tydligt ledarskar kring IT i Region Halland. Ett eRåd har skapats under 2012 för att

hantera strategiska frågor och som skall ta över IT-direktörens roll.

Systemförvaltning

Region Halland följer systemförvaltningsmodellen PM3 och arbetet påbörjades 2008. Idag är det ca 30 kritiska system som är en del

av systemförvaltningsmodellen men fortfarande saknas det många system t.ex. inom psykiatrin och tandvården. Det finns många

ambitiösa personer som driver PM3-arbetet men regionen behöver tydliggöra och ta ett nytt beslut att modellen skall införas och

resurser avsättas, såväl inom IT-organisationen som ute i verksamheterna.

Leverans

Regionen är i fasen att införa en del av en tjänstekatalog från 1 januari 2013 för att verksamheten i högre utsträckning skall kunna

påverka sina IT-kostnader samt att kraven på RGS IT tydliggörs. En fullständig tjänstekatalog är tänkt att vara på plats från 1 januari

2014. En tjänstekatalog är ett viktigt verktyg för att på ett bättre sätt styra en IT-organisation samt att verksamheten kan styra sina

IT-kostnader på ett tydligare sätt.

PwC

7


Kommentarer till kontrollmålen och revisionsfrågan

IT-leveransen är anpassad till verksamheterna

Det finns en organisation inom Regionservice IT som ansvarar för leverans av helpdesk, drift av servrar, utvecklingsstöd, stöd vid

tekniska frågor o s v. En stor del i denna leverans är systemförvaltningsmodellen PM3 samt IT-interna processer i form av processer

som används enligt ITIL (IT Infrastructure library). Det bör avsättas mer resurser för att PM3 modellen skall få större effektivitet.

Vidare saknas det tydliga och uppdaterade SLA (service level agreements) i form av vad verksamheten kräver avseende leverans från

IT-organisationen samt att en tjänstekatalog är under utvecklande för att tydliggöra leveransen än mer. En stor del i leveransen av IT

är att det finns någon som har det övergripande ansvaret för att driva IT framåt vilket inte är tydligt kommunicerat och förståelse för

vem som har detta ansvar idag saknas hos flera av våra respondenter. Inom detta område finns förbättringspotential.

Det finns ett strukturerat arbete för att säkerställa en god IT- och informationssäkerhet

Region Halland arbetar enligt ISO27001 (ledningssystem för informationssäkerhet) vilket är en certifiering för att säkerställa att en

organisation arbetar på ett strukturerat sätt inom IT-säkerhet. Vidare finns det ett ISSO-nätverk inom regionen som förutom arbetet

med ISO27001 även utreder frågor avseende informationssäkerhet som t.ex. ställs genom Patientdatalagen (PDL). Dock har vissa

uttryckt att ISSO-nätverket bör få en tydligare roll i organisationen för att på ett tydligare sätt förmedla ut deras viktiga arbete.

Arbetet med IT- och informationssäkerhet anses strukturerat men inte utan brister. Vid denna granskning har vi noterat brister i ITsäkerhet

som bör åtgärdas, som exempel att det saknas en övergripande IT-säkerhetsansvarig inom regionen samt att övergripande

avbrottsplan för IT saknas. Ambitionen finns där men det saknas resurser för att få kontroll på viktiga områden inom IT-säkerhet.

Det finns styrande dokument framtagna och kommunicerade

Det finns flertalet styrande dokument på plats för att visa på var IT skall stå inom IT-säkerhet och det finns politiska beslut på att

regionen skall följa CeHis strategi för eHälsa, dock saknas en tydlig och kommunicerad handlingsplan för IT på flera års sikt för alla

verksamheter inom regionen. Vilka projekt och aktiviteter vill Region Halland ägna sig åt och vilka projekt finns det resurser för, är

frågor som bör besvaras av detta dokument. Arbetet med IT-säkerhet och vilka krav som finns inom detta område finns beskrivet i

IT-säkerhetspolicys. En IT-strategi som täcker hela Region Hallands IT-verksamhet med tillhörande handlingsplan måste tas

fram.

IT-arkitekturen följer IT-strategin i stort

IT-arkitekturen inom Region Halland är omfattande med ett stort antal servrar, switchar, kommunikation etc som skall förvaltas. Ett

pågående arbete avser projekt med att ta fram tunna klienter som för närvarande är under utvärdering vilket kommer att ställa höga

krav på arkitekturen. Vi kan även konstatera att styrningen av densamma försvåras av att inte ha en plan för IT-arkitekturen klar och

beslutad som skall visa hur regionen vill utveckla arkitekturen över tid. En tydlig handlingsplan skapar en bättre grund för

utveckling av arkitektur.

PwC

8


Processen för framtagande av IT-budget och uppföljning av att den är dokumenterad och strukturerad samt

att mätningar och värderingar av IT-stödet genomförs kontinuerligt

Det finns en budgetprocess framtagen och dokumenterad som en del av PM3 vilken anses väldigt strukturerad. Inom Hallands

sjukhus finns även IT-budgetprocesser för inköp av hårdvara (t ex arbetsstationer), licenser och utvecklingskostnader. Avseende

mätning av IT-stödet är vår förståelse att detta görs på olika nivåer men att det idag saknas egen utvärdering av IT inom regionen.

Vi bedömer att den övergripande kontrollen av kostnader för IT inom finns inom regionen men kan förbättras.

Tekniken är anpassningsbar för förändrade behov och förutsättningar i verksamheten

Det finns flera hundra olika IT-system inom regionen med sina specifika krav på teknik och plattform. Regionens mål är att gå mot

en mer homogen IT-miljö för att underlätta kompetensutbyte, stordriftsfördelar avseende licenser etc. Det är verksamheten eller

förvaltningsobjekten som ställer kraven på tekniken genom PM3 men utvecklingen drivs även av RGS IT som har en djupare

teknisk kompetens och som har ansvaret för teknik och infrastruktur. Det finns teknik som är anpassningsbar men samtidigt är

den oerhört komplex och ställer krav på kompetens inom flera olika områden.

Strategiska applikationer och verksamhetssystem är ändamålsenliga och kostnadseffektiva

Det mest kritiska systemet inom Region Halland är journalsystemet VAS. VAS håller på att uppgraderas (se separat skrivelse i

rapporten). I övrigt har vi noterat att det som exempel används tre olika röntgensystem inom Region Halland och det borde finnas

stora vinster av att ha ett gemensamt system för hela regionen. Vidare är inte kartläggningen av alla system fullständig vilket gör

det svårt att greppa vilka system som regionen har i sin IT-miljö och detta givet är det än svårare att kunna bedöma om det

används dubbletter av system. Avsaknad av fullständig systemförteckning samt användning av olika system inom samma

vårdprocess leder till ineffektivt utnyttjande av tillgängliga resurser och här finns en stor förbättringspotential.

Det finns en tydlig ansvarsfördelning som klargör relationen mellan IT och verksamheten

Relationen mellan IT och verksamheten samordnas primärt genom PM3 systemförvaltningsmodell. Denna modell bygger på att IT

och verksamheten har möten inom modellen där behoven lyfts från verksamhetssidan och IT försöker att svara upp med vilka

möjligheter som finns för att t ex förbättra funktionaliteten i ett system. Modellen har dock endast införts för ett 30-tal system och

fler system bör omfattas av modellen. IT inom ett landsting innefattar även medicintekniska produkter (MTP). Detta är inom

Region Halland en separat organisation inom Hallands sjukhus. Samarbetet mellan RGS IT och MTP är bra men kan förbättras.

Detta område bedöms fungera bra med viss förbättringspotential.

PwC

9


IT-driften är ändamålsenligt strukturerad och kontrollerad, t ex att det finns en förståelse avseende på vilket

sätt data sparas och hanteras (backup)

IT-driften är organiserad inom Regionservice IT som hanterar ca 480 servrar i datahallen i Halmstad. Vissa av dessa servrar driftas

idag av ATEA baserat på ett gammalt avtal som skall ses över. Inom RGS IT ingår även helpdesk vilken enligt respondenterna

fungerar på ett tillfredsställande sätt. RGS IT arbetar med vissa processer enligt ITIL (IT infrastructure library) t ex incident- och

problem management vilket skapar grunden för bättre och effektivare processer inom RGS IT.

Det som inte är på plats idag är uppdaterade överrenskommelser/SLA med verksamheten avseende vilken leverans de kräver

avseende drift av sina system i form av upptider och backuptagning. En ökad formalisering inom detta område leder till att RGS IT

kan strukturera sin leverans samt att verksamheten kan förtydliga sina krav, vilket även ställer höga krav på verksamheten som

beställare. Tydligare interna överenskommelser/SLA kommer att klarlägga vad IT-driften måste leva upp till baserat på

verksamhetens krav.

Revisionsfrågan

”Säkerställs att användningen av IT-verksamhetens resurser är organiserad, strukturerad och kontrollerad

för att ge en välavvägd IT-leverans och därigenom utgöra ett ändamålsenligt verksamhetsstöd?”

Regionen är inne i en förändringsfas där Regionsservice IT (RGS IT), som är en ganska ny organisation, fortfarande försöker

utveckla styrningen av IT inom regionen. Det pågår utveckling av systemförvaltningsmodellen PM3 där det under hösten 2012

tillkommit ett eRåd men utbredningen av PM3 att inkludera fler system går trögt. Från 1 januari 2013 införs första fasen i en

tjänstekatalog som skall användas genom hela organisationen. Vidare pågår det ett stort arbete för att hantera sammankoppling

med Nationell patientöversikt (NPÖ), utvecklings- och förändringsarbete avseende VAS, nya SLA med verksamheten skapas etc.

Ambitionsnivån bedöms vara hög för att kunna utveckla IT inom Region Halland dock är projekten många och det är en stor

utmaning att prioritera projekt och avsätta resurser för dessa.

Granskningen har utmynnat i ett antal identifierade områden där vi anser att Region Halland kan förbättra IT-styrningen och ITverksamheten.

PwC

10


4. Sammanfattning, forts

Granskningen har mynnat ut i ett antal detaljerade observationer med tillhörande rekommendationer. Tabellen visar

observationerna i sammanställd form sorterade per område. För detaljer kring observationerna och rekommendationer,

se avsnitt 6.

Ref Observation Prioritet (Låg, Mellan, Hög)

6.1.2 Förtydliga och utveckla Region Hallands IT-strategi Hög

6.2.1 PM3 systemförvaltningsmodell Hög

6.2.2 IT-säkerhet (se även rapport avseende logisk IT-säkerhet) Hög

6.1.1 Ansvar och mandat avseende IT Mellan

6.1.3 Tjänstekatalog och kostnadsfördelningsmodellen Mellan

6.2.3 Nyckeltal och mätning Mellan

6.2.5 RGS IT Mellan

6.5.1 Drift av likvärdiga system samt systemförteckning Mellan

6.5.2 Systemägare och systemförvaltare bör utses för system och applikationer Mellan

6.5.3 Noteringar avseende VAS Låg

6.1.4 Organisation MTP och RGS IT Låg

6.1.5 Förståelse för den totala IT-kostnaden inom Region Halland Låg

6.2.4 Mall vid upphandling av IT-system Låg

6.2.6 Införande av SITHS korten Låg

6.3.1 Patchning av servrar Låg

6.4.1 Gemensamma arbetssätt inom VAS Låg

6.4.2 Förståelse för PM3 Låg

PwC

11


5. Nuläge – en kort sammanfattning

Region Halland har idag en IT-organisation där IT-service (RGS IT) sedan 1 januari 2011 är en del Regionservice. RGS IT ansvarar

för och samordnar IT-utvecklingen inom Region Halland och stöttar mer än 7000 användare med IT-stöd för ca 300 system och

applikationer som körs på ca 480 servrar. Syftet med RGS IT var att skapa en enhetlig leveransorganisation när det kommer till ITstödet

i form av helpdesk, infrastrukturtjänster etc. RGS IT är alltså en ganska ny organisation som fortfarande behöver tid för att

sätta sig inom regionen. RGS IT är uppdelat i områdena applikation, klienter och skrivare, service desk samt server och

kommunikation och består idag av ca 70 medarbetare. Dessa områden levererar dels stöd till verksamheten genom en

regiongemensam support/helpesk, drift och övervakning av servrar, dels stöd för utveckling av applikationer. Processer inom ITIL

(IT infrastructure library), vilket är best practice avseende hur en IT-avdelning skall jobba, används för processerna change-,

release and deployment, incident- och problem management där processerna följs upp och utvecklas.

Under 2008 togs beslut att införa systemförvaltningsmodellen PM3. Fördelarna med en systemförvaltningsmodell är att den

skapar en struktur och organisation för att tydliggöra samverkan mellan IT och verksamheten, förvaltning av projektportfölj, skapa

gemensamma arbetssätt och skapa kvalitet vid köp av system etc. Vid vår granskning har vi noterat att Region Halland har

inkorporerat ett 30-tal objekt i denna modell inom t ex vård bas, vård specialist, tandvård inom Vård IT samt personal, ekonomi,

intranät (det finns fler) inom familjen administration. Inom dessa objekt finns sedan IT-komponenter som är hänförliga till system

som VAS, Diktett, Obstetrix, MEA, Tears, Intranät för att nämna några. Respektive familj och IT-komponent har sedan ansvariga

objektsägare, förvaltningsledare, objektsspecialister för både verksamhet och IT. Inom PM3 Region Halland har det i höst startats

ett eRåd, vilket skall förbättra tydligheten i beslutsprocess och helhetssyn. Ute i verksamheten finns även IT-samordnare med ökat

ansvar för att fånga upp frågor kring IT.

PwC

Ref: Översikt upprättad av eRådet

12


Vidare går utvecklingen inom sjukvården mot att viktig information om patienten måste finnas tillgänglig för alla som är

inblandade i vården oberoende av vilken vårdgivare som för tillfället har vårdansvaret, vilket driver på utvecklandet av Nationell

patientöversikt (NPÖ). NPÖ är ett av flertalet stora projekt som drivs idag inom Region Halland för anpassning till det

landstingsgemensamma systemet. Ett annat stort arbete pågår avseende fortsatt implementation av SITHS-kort för autentisering

och PASCAL ordineringsverktyg (driftas av Inera) är integrerat med VAS som är Region Hallands journalsystem. Det pågår även

ett utbyte av det befintliga intranätet Lina samt implementation av Agresso som nytt ekonomisystem som skall ersätta det gamla

MEA.

En annan faktor avseende IT inom ett landsting avser det medicintekniska direktivet från den 21 mars 2010 vilket medför att

system som innehåller medicinsk information med påverkan på patientsäkerheten räknas som medicintekniska produkter (MTP)

och ska därför uppfylla direktivets väsentliga krav. Det är en utmaning att tillse att alla nuvarande vårdsystem internt kravställs

avseende tillgänglighet, sekretess etc. för att följa direktivet samt även att kunna påverka befintliga leverantörer av systemen för att

nå upp till direktivet samt regionens egna krav t ex avseende IT-säkerhet. Den separat grupperingen MTP IT som jobbar med IT

inom vården och RGS IT har olika organisatoriska tillhörigheter inom Region Halland.

Arbetet med VAS uppgradering modernisering fortsätter (tidigare kallad VAS+). Styrgruppen för VAS har nu både förvaltnings-

och utvecklingsansvar jämfört med tidigare då det fanns en separat organisation för nyutveckling. Nuvarande styrgrupp VAS är

högsta beslutande instans inom samarbetsorganisationen och utgör beslutande instans för gemensamma utvecklingsinsatser.

Styrgruppen ansvarar även för att en strategi för vårdutveckling och dess kopplingar till IT tas fram. VAS-styrgrupp består av två

företrädare för vardera landstinget samt VD för VAS-TVO som är tillverkarorganisationen. Det är Anne Nöjd som är objektsägare

och nu sitter med i styrgruppen och det är denna grupp som ansvarar för den nya strategiska planen för VAS införandet som skall

gälla mellan 2013 – 2018 och är under bearbetning. Styrgruppen består av 8 personer med representation av Norrlands- ,

Jämtlands- och Region Hallands landsting. I den nya strategiska planen ingår det ett antal leveranser varav ca 25 redan är

inplanerade. Den första leveransen i VAS modernisering kommer att göras i december 2012 och följande moduler kommer att

levereras i nämnd ordning; SIL (svensk informationsdatabas läkemedel), skrivbord och patientadministration, bokning, remiss och

svar. VAS är nu CE-certifierat vilket är en del i att uppdelningen av ansvar och roller är tydligare idag än tidigare.

Med detta vill vi försöka belysa viss fakta och några av de faktorer som idag verkar och påverkar IT-verksamheten inom Region

Halland när du som läsare tar dig vidare i rapporten.

PwC

13


6. Detaljerad analys

6.1 IT-Strategi – Observationer och rekommendationer

6.1.1 Ansvar och mandat avseende IT (mellan)

Vid vår granskning har vi noterat att verksamheten upplever en stor otydlighet och osäkerhet avseende vem som har mandat att

besluta gällande strategiska IT-frågor för Region Halland. Ett eRåd har införts under hösten 2012 som skall ta beslut i strategiska

frågor.

Bristen av ett tydligt ledarskap inom IT med övergripande ansvar och förståelse ökar risken att felaktiga beslut tas, beslut ej fattas

eller drar ut på tiden vilket skapar osäkerhet och ineffektivitet inom organisationen.

Vi rekommenderar Region Halland att förtydliga ansvar och roller inom IT så att det finns en person eller forum (t ex eRådet) som

har ett tydligt ansvar och mandat att leda och ta strategiska beslut inom IT. Detta bör sedan tydligt kommuniceras till

verksamheten.

6.1.2 Förtydliga och utveckla Region Hallands IT-strategi (hög)

Det finns många intressenter avseende utvecklandet av IT inom regionen t ex vad verksamheterna själva vill göra, samarbete med

Hallands kommuner och privata vårdgivare samt nationella intressen och krav för att nämna några. Region Halland har politiskt

beslutat att följa CeHis nationella strategi för eHälsa men vi har i vår granskning noterat att det saknas en tydlig handlingsplan där

Region Halland brutit ned denna strategi till att bli sin egen t.ex. en handlingsplan hur IT-infrastruktur måste utvecklas för att

ligga i linje med strategin på en övergripande nivå. Vidare bör arbetet och vetskapen om IT-strategin förankras inom

organisationen .

Risken är att Region Halland, som är ett relativt litet landsting, tar felaktiga strategiska beslut inom ramen för IT vilket kan få

konsekvenser i form av felaktigt utnyttjande av resurser och ökade kostnader.

Vi rekommenderar att regionen bryter ned befintlig och beslutad IT-strategi enligt CeHis till en handlingsplan som visar på hur

strategin skall förverkligas inom Region Halland de kommande åren t.ex. inom IT-infrastruktur. Ansvaret och koordinering för

framtagandet av dessa planer bör ligga på eRådet vilket även bör ansvara för att förankring av strategi och planer görs inom

organisationen.

PwC

14


6. Detaljerad analys

6.1 IT-Strategi – Observationer och rekommendationer

6.1.3 Tjänstekatalog och kostnadsfördelningsmodellen (mellan)

IT-infrastrukturkostnader som RGS IT levererar i form av backuptagning, helpdesk, applikationsutveckling, mailtjänst fördelas

idag ut av RGS IT som en overheadkostnad till verksamheten. Detta är inte en bra styrmodell. För att förtydliga den faktiska

kostnaden för infrastruktur är RGS IT på väg in i en intäktsfinansierad modell där kostnader för tjänster hänförliga till

PC/arbetsplats kommer att internfaktureras från 1 januari 2013 mot verksamheten. Detta är ett led i att ha en fullständig

tjänstekatalog från 1 januari 2014 vilket på ett tydligt sätt ökar transparensen för IT-kostnaden inom regionen.

Vi har även noterat att t ex Hallands sjukhus själva ansvarar för kostnaden avseende hårdvara, reinvesteringar och licenser för

verksamhetssystem.

Nuvarande fördelningsmodell avseende kostnader för drift inom RGS IT är inte transparent och visar inte tydligt kostnaden

hänförligt till den leverans som verksamheten får.

Vi rekommenderar att regionen fullföljer sin plan att införa en tjänstekatalog till 1 januari 2014 vilket kommer att öka

transparensen avseende IT-kostnaderna inom regionen samt att verksamheterna kommer att ha större möjligheter att påverka sina

IT-kostnader. Arbetet med tjänstekatalogen kommer även att tydliggöra de krav som verksamheten ställer på RGS IT då de på ett

tydligare sätt betalar för en tjänst och utvärdering av denna modell bör göras löpande efter införandet (se även punkten avseende

SLA med förvaltningsobjekten).

6.1.4 Organisation MTP och RGS IT (låg)

Region Halland har en uttalad IT-organisation inom RGS IT samt medicintekniska produkter IT (MTP IT) inom Hallands sjukhus

som ett vårdnära systemstöd. MTP är en strukturerad organisation som stödjer vårdverksamheten och ställer även krav på

tjänsteleveransen från RGS IT. Vår bild är att samarbetet mellan MTP och RGS IT fungerar men att det finns behov av att

tydliggöra nuvarande ansvar och samverkansformer för dessa organisationer.

Risken av att inte ha en tydlig uppdelning mellan dessa organisationer leder till ineffektivitet i det interna arbetet och mot externa

leverantörer samt att hantering av händelser i IT-systemen kan försvåras.

Vi rekommenderar att roller och ansvar mellan MTP IT och RGS IT tydliggörs för att skapa en god grund för att utveckla IT inom

vården på ett effektivt sätt t ex i utnyttjandet av varandras kompetenser.

PwC

15


6. Detaljerad analys

6.1 IT-Strategi – Observationer och rekommendationer

6.1.5 Förståelse för den totala IT-kostnaden inom Region Halland (låg)

Inom Hallands sjukhus finns separata IT-budgetar för inköp av hårdvara (t ex arbetsstationer och annan IT-utrustning), licenser

för verksamhetsspecifika system och utvecklingskostnader kopplade till dessa. Vår förståelse är att dessa kostnader hanteras inom

respektive sjukhus utanför RGS IT budget vilket skapar svårigheter att få en överblick avseende vad IT kostar inom regionen på en

total nivå. Dock har det skett förbättringar avseende uppföljningen av IT-kostnader i och med att RGS tog över ansvaret för IT.

Risken att inte ha en samlad förståelse för IT-kostnaden inom regionen kan leda till ineffektivt användande av resurser.

Vi rekommenderar att regionen ser över nuvarande modell för inköp av PC för att öka kontrollen av de större inköpen av ITutrustning

vilket även bör vara en del i en framtida tjänstekatalog där PC köps in som en tjänst från en central leverantör.

PwC

16


6. Detaljerad analys

6.2 IT-leverans – Observationer och rekommendationer

6.2.1 PM3 systemförvaltningsmodell (hög)

Ett beslut togs 2008 att systemförvaltningsmodellen PM3 skulle användas för hela regionen. Vid granskningstillfället har ett 30-tal

av regionens större system inkorporerats in i modellen av regionens mer än 300 system, dock saknas fortfarande t ex röntgen och

tandvårdens system. En anledning till varför införandet har dragit ut på tiden är att det inte sätts av tillräckligt med resurser för att

bemanna de olika rollerna inom modellen men framförallt för att det saknats en person som har det övergripande ansvaret för

genomförandet och att driva arbetet. Det är även tydligt att det saknas ambition och resurser för att införa och utveckla befintlig

modell ute i verksamheterna. Under året har det införts ett eRåd som skall fungera som strategisk beslutsfattare inom IT.

Risken med att ha system utanför PM3 är att de faktiska fördelarna med en systemförvaltningsmodell ej utnyttjas.

Vi rekommenderar att regionen tar ett förnyat beslut avseende införandet av systemförvaltningsmodellen PM3 och att arbetet

intensifieras för att införa modellen. Vidare bör någon i ledande befattning ta ett tydligt ägarskap av modellen och införandet för

att säkerställa att projektet genomdrivs enligt den plan som även bör slås fast. Detta införande tror vi kommer att leda till bättre

styrning och kontroll av regionens IT-system, ökad kommunikation och kvalitet i beslut samt ökad effektivitet vid utveckling av nya

system eller funktionalitet baserat på användarnas behov.

PwC

17


6. Detaljerad analys

6.2 IT-leverans – Observationer och rekommendationer

6.2.2 IT-säkerhet (se även rapport avseende logisk IT-säkerhet) (hög)

Region Halland är certifierade enligt ISO27001 (ledningssystem för informationssäkerhet) vilket är mycket positivt ur en ITsäkerhetssynpunkt.

Vid intervjuer med respondenter samt granskning av den riskanalys som RGS IT server och kommunikation

själva gjort har vi dock noterat att:

- rollen IT-säkerhetsansvarig saknas

- ISSO-nätverket inom regionen arbetar med IT- och informationssäkerhet dock ser respondenterna brister i att informationen

från nätverket inte når verksamheten på samma sätt som om de skulle ingått i en linjeorganisation

- det saknas kontinuitetsplan för större kritiska system (dock ej VAS)

- det saknas en redundant miljö för VAS (fysiskt åtskilda produktionsmiljöer)

- flera system saknar loggningsfunktionalitet avseende förändringar i data

- dokumenterad avbrottsplan för IT saknas

- uppdaterade SLA saknas för att på ett formellt sätt kravställa t ex tillgänglighet av ett system

- en formell risk- och sårbarhetsanalys för telefoni har ej utförts men har beställts

Vi rekommenderar Region Halland att snarast möjligt avsätta resurser för att hantera de mer väsentliga punkterna inom ITsäkerhet

där ovan nämnda är några. Vilken prioriteringsordning som skall tillämpas är upp till regionen, dock bör redundant

produktionsmiljö för VAS vara något som hanteras omgående och där beställning är gjord inför 2013.

PwC

18


6. Detaljerad analys

6.2 IT-leverans – Observationer och rekommendationer

6.2.3 Nyckeltal och mätning (mellan)

Vid vår granskning har vi noterat att det görs uppföljning av nyckeltal för att mäta och följa upp vad RGS IT levererar i form av t ex

utförda helpdesk ärenden. Vår förståelse är att det saknas nyckeltal för mätning av IT på en övergripande nivå samt att resultatet

av den uppföljning som görs ej sammanställs och redovisas på ledningsnivå för att sedan följas upp av aktiviteter. I detta följer

även frågan avseende vem som skall ansvara för dessa beslut.

Otydliga krav från ledningen kan leda till att det inte finns en klar målbild, vilket kan medföra att IT gör fel prioriteringar samt att

målbilden inte är överensstämmande med verksamhetens förväntningar på IT-leveransen.

Vi rekommenderar att det införs nyckeltal med utgångspunkt från de övergripande målen som regionen har inom IT. Nyckeltalen

kan förslagsvis tas fram av eRådet som i nuläget är det övergripande forum som Region Halland har inom IT, för att därefter

fastställa hur en strukturerad återrapportering bör hanteras. Rapporteringen och uppföljningen bör integreras med regionens

övriga styrnings- och ledningsprocess för att inte bli ett sidospår.

6.2.4 Mall vid upphandling av IT-system (låg)

Vår förståelse är att det ej finns en mall för stöd vid upphandling av IT-system avseende t ex investeringar och kostnader för drift

av systemet och kompatibilitet med övrig IT-miljö. Vi har i granskningen noterat att det saknas förståelse för de driftskostnader

som inköp av ett nytt system för med sig varför kostnader blir högre än förväntat.

Risken är att det system som köps in ej är kompatibelt med IT-miljön eller att kostnaden efter implementering av systemet

överstiger regionens förväntningar och driver extra kostnader för investeringen.

Vi rekommenderar att regionen inför en mall för upphandling av IT-system. Denna mall kan vara separat eller införas som en del

av den befintliga projektmodellen som används inom regionen och kan stötta verksamheten och lyfta frågor som de själva möjligen

inte har tänkt på.

PwC

19


6. Detaljerad analys

6.2 IT-leverans – Observationer och rekommendationer

6.2.5 RGS IT (mellan)

RGS IT upplevs ha en stor vilja att hantera verksamhetens behov avseende krav på IT-stöd men tid och resurser saknas för att

hantera dessa på ett fullgott sätt. Samtidigt kommer nya system in i IT-miljön som skall driftas och monitoreras etc. Enligt

respondenterna finns det även utmaningar i att hantera system som kräver djupare teknisk kompetens samt att det för vissa

system kan det finnas personberoenden. Dessa utmaningar bottnar i att det idag saknas definierade krav från verksamheten i SLA

samt att det saknas en tydlig, dokumenterad och kommunicerad IT-strategi för Region Halland som kan stötta i att strukturera

arbetet och kompetenser på ett bättre sätt.

Det finns en risk att resurser fördelas på ett felaktigt sätt vilket får konsekvenser på hela IT-miljön inom Region Halland t ex

avseende resursallokering och kompetens.

Vi rekommenderar att regionen; skapar en plan för infrastrukturfamilj inom PM3 för 2012, fortsätter sitt arbete med att skapa nya

SLA med objekten inom PM3 samt arbetar vidare med tjänstekatalogen för att tydliggöra transparens avseende vad respektive

tjänst kostar. Dessa aktiviteter tror vi ökar strukturen och förståelsen för vilka områden som bör fokuseras på.

6.2.6 Införande av SITHS korten (låg)

Regionen använder idag SITHS-kort för autentisering till vissa system och anpassningar pågår. Användandet av SITHS-korten

stärker IT-säkerheten då identiteten för användaren styrks. Vid våra intervjuer har vi noterat att användarna upplever att det för

vissa moment, där t.ex. byte av dator ingår, upplever användandet av SITHS-korten som ett hinder i arbetet. Vi har även noterat att

det inte funnits något projekt avseende hur korten praktiskt skall hanteras för vissa system och processer.

Risken är att införandet av SITHS-korten i system får stor inverkan på processen som de är tänkta att säkra.

Vi rekommenderar att dialogen kring hur SITHS-korten skall användas förbättras innan införandet för att förstå vilka

implikationer det får på det dagliga användandet av korten.

PwC

20


6. Detaljerad analys

6.3 Teknologi – Observationer och rekommendationer

6.3.1 Patchning av servrar (låg)

Vid vår granskning har vi noterat att det finns flera servrar där patchning av servrar ej har gjorts. Avsaknad av patchning beror

framförallt på att ändringen ej får göras utifrån att systemet är CE-certifierat och att systemleverantören inte accepterar ändringar i sina

system.

Att inte patcha och uppdatera operativsystemen kan leda till säkerhetshål och minskad tillgänglighet.

Vi rekommenderar att regionen ser över sina interna rutiner och kommunikation mot systemleverantörer för patchning av servrar,

mycket för att minska risken för att system ej har en tillräcklig säkerhetsnivå. Arbetet med automatpatchning bör fortsätta för att

effektivisera arbetet inom RGS IT.

PwC

21


6. Detaljerad analys

6.4 Personal – Observationer och rekommendationer

6.4.1 Gemensamma arbetssätt inom VAS (låg)

Vid våra intervjuer har vi noterat att det finns olika arbetssätt i journalsystemet VAS. Det pågår ett förbättringsarbete för att

homogenisera processerna mellan sjukhusen.

Vi har svårt att bedöma vilken påverkan nuvarande användning har, dock bör mer homogena processer mellan sjukhusen leda till

effektivitetsvinster, kunskapsdelning samt ökad kvalitet.

Vi rekommenderar att Region Halland fortsätter med sitt arbete att homogenisera processerna inom VAS.

6.4.2 Förståelse för PM3 (låg)

Vid vår granskning har vi noterat att vissa personer som arbetar inom PM3 upplever att de inte helt förstår rollen och vad de skall göra

trots att de har jobbat inom modellen i flera år.

Risken är att PM3 inte får den effekt och genomslag i organisationen som förväntas, om de som omfattas av den inte förstår och sedan

utövar modellen på ett effektivt sätt.

Vi rekommenderar att Region Halland ser över utbildningsinsatser för att stärka personalens kompetens inom PM3 för att effektivisera

interna processer och utvecklandet av IT inom Region Halland.

PwC

22


6. Detaljerad analys

6.5 System och applikationer – Observationer och rekommendationer

6.5.1 Drift av likvärdiga system samt systemförteckning (mellan)

Region Halland använder sig idag av tre olika röntgensystem vilket enligt respondenterna beror på historiska skäl. Detta är stora system

där det finns uppenbara fördelar och effektivitetsvinster med att endast ett system används. En stor utmaning för ett landsting är att ha

en total systemförteckning. Vi har noterat att en fullständig systemförteckning saknas dock har regionen kommit en god bit på vägen

genom Windows7 projektet under 2012.

Risken vid användande av flera system för samma process är att t ex samordningsvinster, kompetensdelning, licenskostnader, drift

uteblir. Avsaknad av systemförteckning leder till dålig kontroll av IT-miljön och i värsta fall till att inköp av nya system görs i onödan.

Vi rekommenderar Region Halland att se över vilka system som används idag och vilka som på sikt går att fasa ut. Vidare bör arbetet

med en total systemförteckning fortsätta för att få en god bild över vilka system som driftas idag. På denna systemförteckning

rekommenderar vi att även uppgifter avseende underliggande operativsystem och databaser noteras.

6.5.2 Systemägare och systemförvaltare bör utses för system och applikationer (mellan)

Under granskningen har noterats att samtliga system inte har en systemägare och systemförvaltare vilket primärt avser de system som

idag ligger utanför PM3.

Utan klara ansvar och roller för systemen inom regionen finns en risk att arbetet med förvaltning och drift av systemen blir ineffektivt.

Regionen rekommenderas uppdatera den befintliga lista som finns med information om aktuella systemförvaltare och systemägare. I de

fall systemägare inte har utsetts rekommenderas att så sker.

PwC

23


6. Detaljerad analys

6.5 System och applikationer – Observationer och rekommendationer

6.5.3 Noteringar avseende VAS (låg)

Vid vår granskning har vi noterat följande punkter i relation till journalsystemet VAS:

• Användarna inom Region Halland anser att deras behov för ny funktionalitet inom VAS ej får tillräckligt med uppmärksamhet.

• eArkivet i VAS anses ej fungera tillfredsställande då många anser att det tar lång tid att få fram information.

• RGS IT har inte tillräcklig teknisk kompetens och/eller beställarkompetens som kan stötta vid frågor kring teknik/arkitektur i VAS,

utan dessa frågor måste hanteras via leverantören.

Regionen står inför utmaningar att implementera de nya modulerna som skall införas med hänsyn till utbildning och tid för att lära

sig systemet.

• En extern läkemedelsmodul har upphandlats för att befintlig läkemedelsmodul som Norrlands läns landsting använder ej ansågs

vara patientsäker av Region Halland. Enligt uppgift gjordes det en utredning under sommaren 2012 huruvida utveckling av befintlig

läkemedelsmodul i VAS skulle kunna vara ett alternativ till den externa läkemedelsmodulen.

Vi rekommenderar att återkopplingen mellan de som lyfter behoven och de som mottar dem för VAS inom regionen förbättras samt att

regionen ser över behovet av att ha ökad teknisk VAS kompetens för att möjligen kunna hantera vissa tekniska frågor själva eller att öka

beställarkompetensen mot leverantören av systemet.

Vid utrullning av de nya modulerna inom VAS bör regionen avsätta resurser för att säkerställa att rätt arbetsmetoder används från start.

En analys bör även göras avseende om regionen behöver mer teknisk kompetens avseende VAS. Vidare bör regionen utvärdera om det är

väsentligt att förbättra prestandan avseende eArkivet.

PwC

24


Avslutning

Vi vill ta tillfället i akt att tacka deltagarna i granskningen och Region Halland för ett vänligt bemötande och gott samarbete.

Vid frågor om översynen kan Andreas Crusell eller Martin Magnusson kontaktas.

Göteborg november 2012

More magazines by this user
Similar magazines