Mødedato: 12.12.2017, kl. 15:00
Mødested: Rådhuset, Udvalgsværelse F på 2. sal

Styrket it-governance i Københavns Kommune

Se alle bilag
Økonomiudvalget skal tage stilling til en ny fælles styrings- og governancemodel for it-opgaverne i Københavns Kommune.

Indstilling

Økonomiforvaltningen indstiller, at Økonomiudvalget godkender,

  1. at Økonomiforvaltningen i samarbejde med de øvrige forvaltninger med ikrafttræden pr. 1. januar 2018 implementerer vedlagte nye fælles styrings- og governancemodel for it-opgaverne i Københavns Kommune, jf. bilag 1,
  2. at der etableres en It-kreds bestående af de digitaliseringsansvarlige direktører i hver forvaltning samt af direktøren for Koncern IT i Økonomiforvaltningen. Formandskabet for kredsen varetages af Økonomiforvaltningen,
  3. at It-kredsen får ansvar for at koordinere og sikre tværgående it-strategier og ensartede processer for it-anskaffelser. Derudover skal It-kredsen fungere som sikkerhedskreds og koordinere it-sikkerhedsområdet,
  4. at Økonomiudvalget og Borgerrepræsentationen i 2. halvår 2018 får forelagt et cirkulære til godkendelse om it-anskaffelser på tværs af kommunens forvaltninger.

Problemstilling

Den øgede digitalisering medfører en stigende kompleksitet på it- og digitaliseringsområdet. Det kalder på en styrket it-governance i Københavns Kommune (KK), hvor væsentlige beslutninger træffes i fællesskab og er forpligtende på tværs af KK’s forvaltninger.

I Revisionsrapport for 2016 påpeger Intern Revision (IR), at der reelt mangler governance på it-området, hvilket medfører en række risici for kommunen. IR anbefaler derfor:

  • At governance skal fastlægges i en række standardiserede styringsregler og retningslinjer for anskaffelser.
  • At der sker en entydig placering af beslutningsansvaret som en integreret del af kommunens strategiske ledelsesarbejde.
  • At der arbejdes med en risikobaseret tilgang til styring af it-sikkerhed og it-governance.
  • At der etableres en It-kreds til håndtering af den ledelsesmæssige forankring. Det er her afgørende, at topledelsen er repræsenteret i kredsen.

Dette følger blandt andet af Monopolbruddet, hvor alle kommunerne frigør sig fra KMD A/S’ (det tidligere Kommunedata) monopol på en række af de store, kommunale it-løsninger. KK får herved et større ansvar end tidligere, hvor store leverandører som fx KMD A/S leverede den bagvedliggende teknologi. Nu skal KK selv sikre den teknologi, der skal binde mange forskellige systemer fra flere leverandører sammen.

Dertil kommer, at hackerangreb i de senere år er blevet mere raffinerede. Tidligere var der overvejende tale om angreb på enkelte systemer eller enkelte brugeres data. Nu er tendensen, at angrebene i stigende grad ødelægger hele infrastrukturer med destruktion for øje. Der er indtil flere nyere eksempler på større organisationer, der har oplevet så ødelæggende angreb, at de i en periode reelt ikke har kunnet opretholde drift og/eller produktion.

I takt med introduktion af nye teknologier såsom robotteknologi og øvrige automatiseringer, skal der sikres en god balance mellem på den ene side en optimal udnyttelse af de digitale muligheder og på den anden side, at det sker i et kontrolleret miljø, hvor data beskyttes i tilstrækkelig grad.

I KK er digitalisering blevet en integreret del af forretningen som værktøj til at understøtte og skabe bedre interne arbejdsgange samt til at yde en god og sammenhængende service over for både borgere og virksomheder. En central gevinst ved styrket it-governance i KK er således, at forvaltningerne kan få det bedst mulige fundament for at digitalisere forretningen og med udgangspunkt i relevante behov samt gribe de digitale muligheder, der tilvejebringes af nye teknologier. Alt sammen understøttet af stabil drift.

Løsning

Afledt af erfaringer fra andre større offentlige og private organisationers ageren i forhold til den hastige udvikling på it- og digitaliseringsområdet implementeres en ny it-governancemodel bestående af tre hoveddele som kort beskrevet nedenfor. Forslaget til ny it-governancemodel fastlægger ikke beslutningskompetencen i detaljer, men retter sig primært mod nedsættelsen af en selvstændig, tværgående It-kreds, der fremover skal koordinere og sikre fremdrift i kommunens mange tunge it-faglige opgaver.

1. Etablering af en It-kreds på tværs af kommunens forvaltninger
Der etableres en It-kreds på tværs af forvaltningerne. Kredsen består af de digitaliseringsansvarlige direktører i hver forvaltning samt direktøren for Koncern IT (KIT) i Økonomiforvaltningen (ØKF). Formandskabet for kredsen er placeret i ØKF. Dette bør ses i lyset af, at Økonomiudvalget (ØU) jf. styrelsesvedtægten varetager den umiddelbare forvaltning af kommunens overordnede og tværgående it-forhold (KKSTV § 12, stk. 6, 3.). ØKF varetager den daglige forvaltning af ØU’s opgaver og har indstillingsretten til ØU og Borgerrepræsentationen(BR) vedrørende kommunens overordnede og tværgående it-opgaver mv. Overborgmesteren og borgmestrene har det øverste daglige, administrative ledelsesansvar for it-opgaver inden for hver deres udvalgs/forvaltningsområde. Det administrative ledelsesansvar for it-opgaverne varetages med direkte ansvar overfor ØU og ikke det enkelte fagudvalg.

Københavns Kommunes Databeskyttelsesrådgiver (Data Protection Officer, DPO) deltager i kredsen i de tilfælde, hvor sagerne er relevant for DPO’ens virke.

It-kredsen skal styrke koblingen mellem forvaltningernes kerneopgaver og fælles it-strategier og sikre ensartede og gennemsigtige processer på tværs af KK med mulighed for at løfte sager til kredsen af administrerende direktører, herunder i givet fald til ØKF's administrerende direktør og ØU.

KIT i ØKF sekretariatsbetjener It-kredsen. Forberedelsen af sager vil inddrage de relevante kredse og faglige fora i kommunen, så de faglige og økonomiske aspekter af sagerne er tilstrækkeligt belyst inden behandling i It-kredsen.

Som led i at ruste KK bedre på it-sikkerhedsområdet, vil It-kredsen også fungere som sikkerhedskreds og bl.a. koordinere og give input til kommunens overordnede it-sikkerhedsfunktion i ØKF samt sikre en risikobaseret balance mellem it-sikkerhed og udvikling af forretningsunderstøttende løsninger.

It-kredsen vil i sin opstart udarbejde et arbejdsprogram for 2018, som forelægges kredsen af administrerende direktører. Arbejdsprogrammet kan blandt andet indeholde følgende punkter:

  • Plan for anskaffelse af strategisk infrastruktur, der skal understøtte udviklingsprojekter i forvaltningerne.
  • Kortlægning af teknisk vedligeholdelsesefterslæb på it-området.
  • Etablering af rammearkitektur for KK indeholdende fælles standarder og principper for it-anskaffelser.
  • Kortlægning af sikkerhedsniveau og eventuelle sikkerhedsudståender.
  • Godkende sikkerhedsvejledning der giver praktiske retningslinjer for håndtering af ansvaret for it-sikkerhed på overordnet plan og i regi til det enkelte system.
  • Opfølgning på beredskabsplan for udfald som følge af cyberangreb, herunder fastlæggelse af en proces for i hvilken rækkefølge de mest kritiske systemer i kommunen skal genetableres i tilfælde af cyberangreb.

Kommunens lovpligtige revision (Deloitte) og Intern Revision støtter forslaget om etablering af en It-kreds på tværs af kommunens forvaltninger og har meddelt, at de vil følge den tæt. Det er både Deloitte's og Intern Revision's vurdering, at en velfungerende kreds til behandling af de rette temaer/emner kan medvirke til at styrke og skabe gennemsigtighed i den samlede governancestruktur på både it- og persondataområdet i KK.

2. Tværgående strategier
It-kredsen vil få ansvar for at koordinere og sikre vedligeholdelse af en række tværgående strategier for den fælles it i KK i form af fælles komponenter som fællessystemer, infrastruktur og it-sikkerhed samt rammearkitektur. De tværgående strategier vil blive udarbejdet i en koordineret proces med forvaltningerne, herunder med risikobaseret hensyn til forvaltningernes behov for it-understøttelse, valg af fagsystemer og digitalisering af forretningsområderne. 

Formålet med de tværgående strategier er at sikre en fælles retning for KK på it-området, og at samtlige forvaltninger forpligter sig herpå. Forvaltningerne vil samtidig i It-kredsen få mulighed for medindflydelse på den løbende prioritering af Koncern IT’s indsatser, som i dag primært sker ved årlige drøftelser i kredsen af økonomidirektører. 

3. Klar rolle- og ansvarsfordeling i it-anskaffelsesprocesser
Der sikres en klar rolle- og ansvarsfordeling ved udsendelse af et BR-godkendt cirkulære for it-anskaffelser i KK. Cirkulæret vil erstatte den af BR godkendte sag fra d. 31. maj 2012 om etablering af en it-anskaffelsesvurderingsproces og vil forelægges for ØU og BR med henblik på godkendelse i 2. halvår 2018.

Forvaltningerne vil fortsat være ansvarlig for egne indkøb af fagsystemer og beskyttelse af egne data, men da it-systemer i dag altid er bundet sammen med andre it-systemer via integrationer eller infrastruktur, er formålet med cirkulæret konkret at fastlægge ansvars- og beslutningskompetence ved anskaffelser af nye it-systemer i KK.

Status for styrket it-governance
Ved udgangen af 2018 forelægges ØU en evaluering af den nye it-governancemodel ud fra følgende pejlemærker:

  • Styrket sammenhæng mellem forretningsbehov og it-strategier: Der er aftalt fælles, bindende strategier omhandlende infrastruktur, fælles rammearkitektur og it-sikkerhed koordineret med forvaltningernes forretningsbehov.
  • Sikring af et it-sikkerhedsniveau, der matcher det stigende trusselsniveau: Der er aftalt strategi for en fælles it-sikkerhedsarkitektur, og der er et fælles billede af hvilke risici, KK ønsker at påtage sig. Der er etableret et beredskab og en prioriteringsrækkefølge for håndtering ved udfald som følge af cyberangreb.
  • Øget hastighed og større succes med projektgennemførelse uden tilbageløb: Der er udsendt et cirkulære om it-anskaffelser. Cirkulæret indeholder en tydelig beskrivelse af ansvars- og kompetencefordelingen ved anskaffelser af nye it-systemer, hvilket gør det lettere for forvaltningerne at gennemføre anskaffelsesprocesser.

Økonomi

Sagen har ikke økonomiske konsekvenser. Udgifterne til sekretariatsbetjening af It-kredsen afholdes som udgangspunkt af ressourcer, der i dag er afsat til sekretariatsbetjening af nuværende, tværgående it- og digitaliseringsfora.

På kort sigt kan en ny governancemodel indebære, at udgifter ifm. anskaffelser og udviklingsprojekter forskydes. I dag er der en tendens til, at der anvendes for få ressourcer i projekternes planlæggende faser, hvilket giver et øget ressourcetræk i den senere gennemførelsesfase. Med en ny model, hvor der anvendes flere ressourcer initialt i projektfasen, er det forventningen, at kvaliteten øges i projektet, og at de enkelte projektomkostninger samlet set vil være de samme.

Samtidig vil en kortlægning af vedligeholdelsesefterslæb evt. føre til behov for øgede udgifter. Disse vil i så fald blive håndteret ved særskilte indstillinger herom.

Videre proces

It-governancemodellen træder i kraft pr. den 1. januar 2018.

It-kredsens arbejdsprogram vil blive forelagt kredsen af administrerende direktører til godkendelse i 1. kvartal 2018.

Et cirkulære for it-anskaffelser i KK forelægges for ØU i 2. halvår 2018. Cirkulæret erstatter den gældende anskaffelsesvurderingsproces fra 2012.

En samlet redegørelse med fokus på varetagelse af it-sikkerhedsområdet forelægges for ØU og BR ved udgangen af 1. halvår 2018.

Der udarbejdes en samlet status på It-kredsens arbejde i slutningen af 2018 til forelæggelse for ØU.

 

Peter Stensgaard Mørch               / Mads Grønvall

Beslutning

Dagsordenspunkt 4: Styrket it-governance i Københavns Kommune (2017-0385971)

Økonomiudvalgets beslutning i mødet den 12. december 2017

Indstillingen blev godkendt uden afstemning.  

Til top