Mødedato: 09.04.2024, kl. 15:30
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Særlig undersøgelse fra Intern Revision om it-anskaffelsesprocessen

Se alle bilag

Intern Revision har foretaget en særlig undersøgelse rettet mod it-anskaffelsesprocessen, som fremgår af forretningscirkulære for it-anskaffelser. Undersøgelsen viser, at aktiviteterne i processen består af fornuftige tiltag, men at processen er omfattende og unødigt ressourcekrævende. Økonomiforvaltningen har på den baggrund udarbejdet handleplan, der skal genbesøge it-anskaffelsesprocessen med henblik på at etablere en mere transparent og effektiv proces.

Indstilling

Økonomiforvaltningen indstiller over for Økonomiudvalget,

  1. at Intern Revisions særlige undersøgelse af it-anskaffelsesprocessen i Koncern IT, Økonomiforvaltningen, tages til efterretning,
  2. at Økonomiforvaltningens handleplan til den særlige undersøgelse, tages til efterretning.

Problemstilling

Intern Revision har foretaget en særlig undersøgelse rettet mod it-anskaffelsesprocessen i kommunens Koncern IT, jf. bilag 1. Undersøgelsen er gennemført med henblik på at undersøge, hvorvidt processen er designet hensigtsmæssigt og betryggende.

Intern Revision vurderer, at aktiviteterne i it-anskaffelsesprocessen i vid udstrækning er fornuftige tiltag, som forvaltningerne kan og bør forholde sig til. Den samlede proces er reelt et compliancetjek, som medvirker til, at Koncern IT kan foretage en indledende anskaffelsesvurdering, en efterfølgende sikkerhedsvurdering og endelig, udstede en ibrugtagningstilladelse. Intern Revision skriver dog også, at det er deres opfattelse, at anskaffelsesprocessen er omfattende med mange lag, uhensigtsmæssigt tilrettelagt og dermed unødigt ressourcekrævende.

Intern Revision vurderer, at der i relation til en it-anskaffelse, generelt er tre sikringsniveauer, der bør håndteres af Koncern IT, Økonomiforvaltningen:

  • Beskyttelse af kommunens infrastruktur.
  • Sikkerheden i det konkrete system eller applikation.
  • Compliance ift. at overholde interne regler som sikrer passende sikkerhedsniveau.

 

Intern Revision anbefaler på baggrund af undersøgelsen:

  • at anskaffelsesvurderingen som et obligatorisk krav afskaffes således, at forvaltningerne bør kunne vælge anskaffelsesvurderingen til og fra, hvis de på baggrund af en vurdering af væsentlighed og risiko selv er i stand til at foretage vurderingen.
  • at sikkerhedsvurderingen afløses af en risikovurdering/ibrugtagningstilladelse, der udelukkende fokuserer på de tre sikringsområder, som Økonomiudvalget/Økonomiforvaltningen er ansvarlige for.

Løsning

Økonomiforvaltningen vurderer, at Intern Revisions anbefalinger ligger fint i forlængelse af Københavns Kommunes Digitaliseringsstrategis ambition om at ville justere it-styringsmodellen, så den understøtter en effektiv, enkel og balanceret styring af it-området.

Økonomiforvaltningen har udarbejdet nedenstående handleplan til den særlige undersøgelse.

Handleplan til den særlige undersøgelse

Økonomiforvaltningen vil genbesøge it-anskaffelsesprocessen med henblik på at etablere en mere transparent og effektiv proces. Målsætningen er at fastlægge en ny it-anskaffelsesproces i løbet af 2024, der tager højde for, at anskaffelsesvurderingen gøres frivillig og sikkerhedsvurderingen afløses af en risikovurdering.

  1. Koncern IT igangsætter arbejdet med at udarbejde en ny it-anskaffelsesproces. I det indledende arbejde vil der være fokus på indhentning af forvaltningernes erfaringer samt på at skabe overblik over rammer og krav til arbejdet bl.a. i form af eksisterende relevant. lovgivning. I marts/april 2024 nedsættes en gruppe med repræsentanter fra forventeligt alle forvaltninger, som vil fungere som tæt sparringspart ind i det samlede arbejde.
  2. En central del af en ny anskaffelsesproces vil være at skabe transparens og afklaring af, hvilke minimumskrav der skal være opfyldt for at sikre et passende sikkerhedsniveau i Københavns Kommune. Et andet centralt element vil være at udvikle en differentieret tilgang, der skal muliggøre, at mindre komplekse it-anskaffelser og it-anskaffelser med lave risici for kommunen vurderes mere effektivt i anskaffelsesfasen. I den forbindelse vil det forventeligt være relevant at se på kategorisering af it-systemer.
  3. Implementeringen af en ny anskaffelsesproces vil ske via cirkulære, forretningsgange, retningslinjer, vejledninger, skabeloner mv. Dertil kommer klarhed omkring hhv. Koncern IT’s og forvaltningernes rolle i processen. Dette med henblik på at sikre, at forvaltningerne kan løfte deres opgaver i anskaffelsesprocessen hensigtsmæssigt og betryggende. Implementeringen forventes at kunne være afsluttet medio 2025.

Økonomi

Sagen har i sig selv ingen økonomiske konsekvenser.

Videre proces

Koncern IT iværksætter handleplanen i tæt samarbejde med alle forvaltninger og med inddragelse af Intern Revision.

Søren Hartmann Hede       /Nicolai Kragh Petersen

Beslutning

Dagsordenspunkt 25: Særlig undersøgelse fra Intern Revision om it-anskaffelsesprocessen (2024-0092709)

Økonomiudvalgets beslutning i mødet den 9. april 2024

Indstillingen blev taget til efterretning uden afstemning.

Til top