Hvordan kan man tage risikostyring i offentlige it-løsninger til næste niveau?

I danske ministerier og myndigheder træffes beslutninger om it-systemer på et grundlag, der kunne være meget bedre, hvis der i højere grad blev efterspurgt risikodata fremfor klassiske sagsfremstillinger. Risikodata kan løbende afdække, om kvaliteten af softwaren er tilfredsstillende. Med passende styringsparametre kan man opnå konkrete kvalitetsforbedringer i løsningerne og en konstruktiv leverandørdialog baseret på fakta.

— o —

Executive Summary

Der investeres meget i offentlige it-løsninger, og alle gør deres bedste for at styre risici og kvalitet. Alligevel går det ofte galt med den nuværende tilgang til risiko- og kvalitetsstyring af de offentlige it-løsninger. Seneste eksempel er udskydelsen af det nye Ejendomsvurderingssystem, der har ført til, at regeringen vil oprette et it-tilsyn som supplement til det igangværende arbejde med it-handlingsplaner.

Spørgsmålet er, om der brug for en mere effektiv måde til at styre risici og hæve kvaliteten i offentlige it-løsninger?

Hvis svaret er ja, så kan Software Intelligence-metoden være et godt bud på, hvordan man løbende kan måle risiko og kvalitet i offentlige it-løsninger. Software Intelligence kombinerer moderne analyse af it-løsninger med en helhedsforståelse af arkitektur og forretningsbehov. Metoden skaber ledelsesinformation om komplekse it-løsninger, så digitale ledere – baseret på kendsgerninger – kan styre risiko og kvalitet i de offentlige it-løsninger.

Hvorfor er det værdifuldt? Fordi man samlet set kan styrke og forbedre det digitale driftsapparat. På det operationelle niveau med konkrete forbedringsforslag og styrket leverandørdialogen. På det taktiske niveau med benchmarking af kvalitet og omkostningsniveau, der f.eks. kan indgå som del af et kontraktgrundlag. Og på det strategiske niveau opnår man et overblik over applikationsporteføljen, hvilket gør det muligt at lægge konkrete roadmaps for moderniseringforløb.

— o —

Hvorfor er det så svært at styre offentlige it-løsninger?

Danmark er et af de mest digitale lande i verden, og de fleste af os bruger ofte offentlige systemer i en travl hverdag. Den digitale agenda fylder meget, men man oplever ofte en lidt træt og opgivende stemning omkring middagsbordene, når talen falder på de offentlige it-løsninger. Se bare de seneste artikler om udskydelse af ejendomsvurderinger til 2024. De senere års it-problemer ved flere store offentlige organisationer gør det også naturligt at have en skeptisk holdning til offentlige it-projekter.

Udfordringen ved at være et af verdens mest digitale lande er, at vi i stigende grad bliver afhængige af de offentlige, digitale løsninger, der udgør et stadigt mere kritisk fundament for vores samfund. Og fordi vi har været first-movers, har vi meget naturligt også opbygget en del teknisk gæld, som skal håndteres. For de offentlige ledere i det digitale rum er der rigeligt at tage hensyn til. Offentlige løsninger skal være robuste, driftssikre og GDPR-godkendte. De skal til stadighed vedligeholdes og udbygges, så de kan understøtte ny og gældende lovgivning – både nationalt og fra EU.

Samtidig er spredningen i teknologi stor – fra ældre mainframe- og databasedrevne løsninger, over Java- og Microsoft-baserede løsninger til de seneste programmeringssprog og teknologier. Og for at give kompleksiteten et ekstra perspektiv er de offentlige løsninger ofte koblet sammen med hinanden på kryds og tværs, så problemer i et system kan påvirke driften af andre systemer.

Endelig skal offentlige løsninger løbende sættes i udbud og kunne overdrages til nye drifts- og vedligeholdsleverandører. Og dette store og komplicerede stykke arbejde skal gennemføres på en måde, så det lever op til borgernes forventninger om bedst mulig services til færrest mulige skattekroner.

Det gode spørgsmål er, hvordan man tidligere kan identificere risici og manglende kvalitet i offentlige it-løsninger?

— o —

Hvad gøres der for at styre risiko og kvalitet i offentlige it-løsninger?

For at hjælpe ministerier og myndigheder med at få styr på deres it-løsninger har den danske stat fastlagt en ambitiøs plan om regelmæssig gennemgang af alle samfundskritiske systemer.

Hvis et system har en nøglerolle i samfundet, skal det kortlægges, og der skal foreligge en plan for styringen af det, uanset om det er en 30 år gammel mainframe-løsning eller et moderne, cloudbaseret system under udvikling. Der findes i dag 377 offentlige systemer, der er klassificeret som samfundskritiske. Målsætningen er at gennemgå dem løbende med en cyklus på tre år.

Seks kortlægningsdimensioner skal hjælpe med at styre risici

Digitaliseringsstyrelsen har udviklet en metode til at hjælpe statslige organisationer med risikovurdering af statslige it-systemer. Vurderingen af systemerne bør således tage udgangspunkt i seks perspektiver, der har signifikant indflydelse på systemernes tilstand og deres værdi for brugere og samfund:

De seks kategorier, der evalueres pr. system i it-handlingsplanen (kilde: Digitaliseringsstyrelsen)

1. Forretningsunderstøttelse — På hvilket niveau understøtter systemet kerneforretningsprocesserne og dets brugere?

2. Teknisk tilstand – Den tekniske kvalitet af løsningen, herunder alderen på den underliggende teknologi, kvaliteten af designet og implementeringen og statistikker over antallet af tekniske problemer

3. Dokumentation og viden – i hvilken grad er dokumentation og viden tilgængelige for både slutbruger-organisationen, men også for udviklere og dem, der drifter løsningen?

4. Økonomi – Indsigt i omkostningerne forbundet med drift og vedligeholdelse af systemet sammenlignet med systemets udviklingsomkostninger

5. Kontrakter og sourcing – Kontraktuelle aspekter for systemsupport samt vedligehold og drift

6. Sikkerhed – Systemets sikkerhedsaspekter er en hovedrisikofaktor i alle digitale organisationer

For hver af disse kategorier er der omfattende spørgeskemaer for at hjælpe med systemkortlægningen og selv-evalueringen. I alt er der op til 44 spørgsmål pr. system svarende til, at der skal besvares godt 5.500 spørgsmål om offentlige it-systemer om året.

Lægger man dertil den tid, det tager at lave en systemkortlægning, så er der tale om en langvarig og ressourcekrævende proces, før man har en it-handlingsplan. De første erfaringer fra myndighederne peger da også i retning af, at det kan tage 4-6 mandemåneder at udarbejde en it-handlingsplan.

Hvorfor er det svært og tidskrævende at måle risiko og kvalitet i it-løsninger?

Ser man på kortlægningsdimensionerne ovenfor, så er det umiddelbart lettest at styre risikoen i forhold til ”3 Dokumentation og viden”, ”4 Økonomi”, ”5 Kontrakter og sourcing” og til en vis grad ”1 Forretningsunderstøttelse”. Disse dimensioner er nemlig fysiske og synlige gennem dokumenter, kontrakter og talmateriale, og det gør dem målbare i klassisk forstand.

Anderledes er det med ”2 Teknisk tilstand” og ”6 Sikkerhed”, der i høj grad kræver indsigt i kode og arkitektur. Det er kompliceret og tidskrævende at opnå dyb, teknisk indsigt i store it-løsninger. Og samtidig er det svært at tage denne tekniske viden og ”oversætte” den til ledelsesinformation – særligt, hvis det skal gøres manuelt. Og af samme årsag bliver det ikke gjort særlig tit.

Og det betyder, at det er svært at vedligeholde et opdateret risikobillede af en applikationsportefølje. Dermed bliver det svært at afgøre, om man som myndigheder modtager it-løsninger i den rigtige kvalitet, ligesom det kan være en udfordring at identificere og implementere konkrete forbedringsforslag.

— o —

Findes der en nemmere måde at måle risiko og kvalitet i it-løsninger?

Ja, det gør der. Software Intelligence-metoden er et godt bud på, hvordan man løbende kan måle risiko og kvalitet i it-løsninger. Metoden kombinerer digital analyse af it-løsninger med en helhedsforståelse af arkitektur og forretningsbehov. Kernen i Software Intelligence er en analysemotor, der gør det muligt hurtigt og enkelt at måle kvalitet og risici i store og komplekse it- løsninger ved hjælp af automatiseret analyse af kritiske, tekniske perspektiver.

Den tekniske indsigt kombineres med en forretningsmæssig indsigt om, hvor kritiske løsningerne er for forretningen, og hvor ressourcekrævende de bør være at vedligeholde. Dermed får man et forretningsmæssigt og økonomisk perspektiv, som kan kombineres med det tekniske. Og det er denne kombination, der er interessant.

Oversigt over applikationsportefølje i på strategisk niveau
(kilde: CAST Software)

Resultatet er en række konkrete måltal for it-løsningernes robusthed, vedligeholdelsesvenlighed og sikkerhed, præsenteret på en måde, så det er nemt at forholde sig til fra et ledelsesmæssigt perspektiv som vist i figuren.

Som supplement til den kvantitative analyse er der er brug for en god, faglig forståelse af arkitektur og integrationer, datamodeller og infrastruktur for at danne et samlet helhedsbillede af it-løsningerne. De tekniske analyser ofte er de mest ressourcekrævende og samtidig dem, der bør gennemføres oftest. Her giver Software Intelligence-metoden på kort sigt mulighed for væsentlige besparelser i forbindelse med risikostyring og kvalitetssikring af it-løsninger.

Det langsigtede perspektiv er, at det bliver muligt at styre kvalitet i udvikling og vedligehold af it-løsninger baseret på data og kendsgerninger. Det vil give grundlag for it-løsninger med højere kvalitet, der er nemmere at vedligeholde, og det giver en robusthed i udbudssituationer, hvor konkrete krav til kvalitet kan indarbejdes som del af udbudsmaterialet.

— o —

Ny metodisk tilgang optimerer det digitale driftsapparat

Med Software Intelligence som metodisk tilgang til risikostyring af it-løsninger opnår man flere fordele.

1. Løbende risikomålinger baseret på kendsgerninger
Omnium Improvements Software Intelligence-metode kombinerer kvantitativ analyse med kvalitativ arkitekturforståelse og forretningsindsigt.

Det tekniske niveau i form af kode og arkitektur er det objektive niveau, der indeholder kendsgerningerne om en it-løsning. Når man måler kvaliteten her, får man reel forståelse af løsningens robusthed og vedligeholdelsesvenlighed. Det gør det nemt at finde og implementere konkrete forbedringer på det operationelle niveau. Og fordi Software Intelligence er en kombination af analysemotor og metode er det muligt at gennemføre jævnlige målinger, så man løbende har et opdateret billede af it-løsningernes risiko og kvalitet og kan følge udviklingen over tid.

2. Fra strategisk risikostyring til konkrete forbedringer
Software Intelligence præsenterer ledelsesinformation om applikationsporteføljer og gør det nemt at navigere fra strategisk overblik til programmeringstekniske detaljer og tilbage igen. Det betyder, at man som leder har nemt ved at opnå en overskuelig og helhedsorienteret risikovurdering af it-løsninger.

Men en ting er at kunne se risici. En anden og væsentlig mere værdiskabende er at kunne gøre noget ved dem. Med Software Intelligence er det muligt løbende at gå fra strategisk overblik til konkrete løsningsforslag, som udviklerne kan gå i gang med at implementere.

3. Forbedret leverandørdialog og omkostningsbesparelse
Software Intelligence gør kvalitet og risiko i it-løsninger til noget målbart og konkret. Det giver grundlag for en målrettet og konstruktiv leverandørdialog om konkrete tiltag, der kan sænke risikoen og forbedre kvaliteten i it-løsningerne. Fordi nye målinger er nemme at gennemføre, kan man løbende følge trends for risici og kvalitet og dermed holde it-løsningerne på sporet. Og fordi man over tid har mulighed for at hæve kvaliteten i løsningerne, kan det aflæses som et økonomisk resultat i form af omkostningsbesparelser ved vedligehold og færre nedbrud.

4. It-handlingsplaner – hurtigere og i bedre kvalitet
Analysemotoren i Software Intelligence er udviklet af CAST Software, der er en af verdens førende leverandører indenfor applikationsanalyse. Omnium Improvement er partner med CAST og har udbygget analysemotoren, så analyseresultaterne kan leveres direkte ind i de skabeloner, der er udgangspunkt for de offentlige it-handlingsplaner, der er defineret af Digitaliseringsstyrelsen. Det gør det muligt at indsamle det tekniske grundlag 50-60% hurtigere og med en væsentlig bedre teknisk dækning end ved en tilsvarende manuel analyse.

Hvis du er interesseret i at vide mere om Software Intelligence og hvordan, metoden kan accelerere processen frem mod en it-handlingsplan, er du velkommen til at kontakte Mark Hissink Muller, Director of Software Intelligence på +45 2860 2101 / mhm@omnium.dk eller Partner Jack Ekman på +45 4242 8081 / jke@omnium.dk.

Omnium Improvement ApS er et konsulenthus med speciale i komplekse, digitale transformationer. Omnium Improvement er CAST-partner og har videreudviklet Software Intelligence metoden, så den passer til skandinaviske behov i offentlige og finansielle virksomheder. Det betyder bl.a. direkte understøttelse af offentlige it-handlingsplaner.

CAST Software er verdens førende virksomhed indenfor analyseværktøjer til software-porteføljer. CASTs løsninger bruges af mange af verdens største, offentlige organisationer, herunder de franske finans- og justitsministerier, den amerikanske hær, US Federal Reserve og Fannie Mae.

Om forfatterne

Jack Ekman er Partner i Omnium Improvement og har i hovedparten af sin karriere arbejdet med nogle af Danmarks største og mest komplekse transformationer hos offentlige og finansielle kunder. Privat er han gift med Katrine og sammen har de 3 drenge. Fritiden bruger han ofte i naturen med enten coastal roning eller cykling.
Mark Hissink Muller er Director of Software Intelligence i Omnium Improvement og har mere end 18 års erfaring med opbygning og vurdering af custom-løsninger og rådgivning på it-chef- og CxO-niveau. Mark er oprindeligt fra Holland, men bor i dag lykkeligt med sin kone og tre børn i Nordsjælland.