De svenska storföretagens ADB-ledningar har genomgående god teknisk uppföljning av driften. Men det brister på systemsidan, och högsta företagsledningen saknar ofta underlag för tidiga reaktioner på en ogynnsam kostnads- eller säkerhetsutveckling.

Det visar en enkät som FARs databehandlingskommitté utfört. Auktor revisor Gilbert Larsson vid Svensson, Erikson & Tjus och auktor revisor Tommy Mårtensson vid Arthur Andersen & Co presenterar här resultatet.

FARs databehandlingskommitté har genom en enkät till ett dussintal större svenska företag sökt få en bild av omfattningen och arten av styrhjälpmedel som används i ADB-verksamheten.

ADB-verksamheten är komplex och tekniskt avancerad. Det är svårt för den som inte är specialist att rätt bedöma effektiviteten i avdelningen – är resursförbrukningen rimlig i förhållande till det som produceras i form av löpande drift och systemutveckling?

En annan fråga av stor vikt är datasäkerheten. Brister i säkerheten påverkar företagets kostnader – men inte nödvändigtvis ADB-avdelningens. Att rätt avväga ambitionsnivån och att bedöma datasäkerheten är en grannlaga uppgift som kräver stor kunskap.

Styrning av ADB-verksamhet

Med utgångspunkt från dessa två aspekter rörande ADB-verksamheten – kostnadseffektivitet respektive datasäkerhet – vill vi få svar på följande frågor:

  • Vilka medel använder företagsledningen för att styra ADB-verksamheten och följa upp resultatet?

  • Vilka medel för uppföljningen tillämpas av ADB-ledningen?

Intresset har främst inriktats mot tänkbara nyckeltal för uppföljningen av verksamheten. Avsikten är härvidlag inte att peka på nyckeltal eller andra hjälpmedel som är särskilt lämpliga utan endast att ge en bild av i vilken omfattning denna form av uppföljning tillämpas i företagen.

Följande områden för företagens dataverksamhet har medtagits:

  • Övergripande styrning/uppföljning

  • Systemutveckling

  • Drift

Företagsledningens styrning och uppföljning

Frågorna till företagsledningen framgår av tabell 1.

Tabell 1. Enkätfrågor angående företagsledningens uppföljning.

1. Organisation

Beskriv hur samarbetet mellan företagsledning och ADB-verksamhet är organiserat. Hur ofta träffas man och i vilken form?

2. Rapportering

  1. Beskriv vilken rapportering som sker till företagsledningen avseende övergripande styrning av ADB-verksamheten, systemutveckling och drift.

  2. Hur ofta sker rapporteringen?

  3. Hur är rapporteringen strukturerad?

3. Långsiktig styrning

Beskriv ifall långsiktig styrning av ADB-verksamheten sker och i så fall i vilken form. Innehåller den långsiktiga styrningen också någon form av nyckeltal?

4. Företagspolicies

Finns särskilda företagspolicies avseende ADB-verksamheten? I så fall, beskriv vad dessa avser och företagsledningens medverkan i utfärdande och översyn av dem.

5. Övrig medverkan/uppföljning

Ifall någon annan form av medverkan/uppföljning används, var vänlig och beskriv denna.

Organisation

Flera av företagen i enkäten har dataverksamheten organiserad i ett särskilt bolag. Styrelsen för bolaget leds i dessa fall av en representant för företagsledningen.

I övriga fall ingår antingen ADB-chefen i ledningsgruppen eller också är den administrative chefen ytterst ansvarig för ADB-funktionen.

Det samlade intrycket är att ADB-verksamheten ligger högt i företagshierarkin.

Vidare finns ofta en särskild grupp eller styrelse som ansvarar för prioritering och samordning av koncernens totala ADB-resurser.

Rapportering

Rapporteringen till företagsledningen med avseende på kostnadseffektivitet synes främst ske i form av kostnadsrapporter med budgetuppföljning.

Några relationstal eller mått på produktiviteten verkar – av enkätsvaren att döma – inte nå utanför den ADB-ansvariga kretsen.

En stor del av rapporteringen sker muntligt inför ADB-styrelsen (eller motsvarande) med information om pågående och avslutade projekt, resursläge och långsiktig inriktning. I första hand är det fråga om en statusredovisning och i mindre grad en rapportering som ger möjlighet att bedöma vad som är bra eller dåligt.

Endast undantagsvis rapporteras till företagsledningen nyckeltal eller statistiska uppgifter som anger mått på datasäkerheten.

Långsiktig styrning och företagspolicies

Företagen har i allmänhet en nedtecknad ADB-strategi. Företagsledningen fastställer också den policy som skall tillämpas i olika ADB-frågor och är engagerad i utformningen av dessa riktlinjer.

Ur företagsledningens synvinkel anges internprissättning som ett väsentligt medel att styra resursanvändningen i koncernen tillsammans med en centraliserad, övergripande planering av resursanskaffningen.

De enda nyckeltal som nämnts i denna del rörande företagsledningens styrning och kontroll är:

  • ADB-kostnaderna i procent av omsättningen

  • Antal anställda i ADB-avdelningen

ADB-ledningens styrning

Den övergripande styrningen av ADB-verksamheten av ADB-ledningen kunde förväntas vara tillfredsställande, då den sker inom dess funktionella kompetensområde. Vår enkät visade att så också var fallet. De områden/frågor vi medtagit i vår enkät för detta var:

  • Sker rapportering löpande av ADB-verksamhetens kostnader i förhållande till företagets omsättning?

  • Rapporteras löpande ADB-verksamhetens totala kostnader fördelade på olika funktioner/resurser (drift, programunderhåll, systemutveckling, maskinvara etc)?

  • Tillämpas interndebitering för att belysa ADB-verksamhetens kostnadseffektivitet (”marknadsmässig” prissättning). Behandlas ADB-verksamheten som separat resultatenhet?

  • Rapporteras löpande resursfördelning (antal personer) på datordrift, central registrering, systemutveckling och underhåll samt programmering?

  • Rapporteras löpande utbildning i timmar i förhållande till totala timmar på avdelningen eller i genomsnitt per person?

Samtliga frågor besvarades i huvudsak jakande.

Ett flertal av företagen svarade också att de hade en årlig verksamhetsrapport, hade budget- och måluppföljning, projektanalyser och projektredovisning etc. Det förekommer således en rad styrinstrument för ADB-verksamheten.

Intressant är också att nästan samtliga företag tillämpade interndebitering till marknadsmässiga priser för ADB-verksamheten. Detta i sig bör leda till en ökad kostnadsmedvetenhet hos både användare och ADB-avdelning.

Systemutveckling

De frågor som ställdes i vår enkät var:

A Kostnadseffektivitet

  • Rapporteras löpande kostnadsavvikelser för utveckling av nya system och väsentliga ändringar i befintliga system? Jämförs utfall kostnader/intäkter mot förkalkyl, utfall färdigställandetidpunkt mot ursprunglig tidsplan etc?

  • Redovisas löpande systemavdelningens ”debiteringsgrad” såsom i form av projekttid i förhållande tillgänglig tid eller på något annat sätt?

  • Förs löpande för systemavdelningen statistik över antalet mandagar för underhåll av befintliga system i förhållande till utveckling av nya system?

  • Övrig rapportering?

B Drifts- och informationssäkerhet

  • Sammanställs periodvis programändringar/nya system som tagits i drift? I så fall hur?

  • Kontrolleras och rapporteras löpande av användare begärd men ej genomförd programutveckling/ändring? På vilket sätt sker detta?

  • Övrig rapportering?

Det visade sig att samtliga företag hade goda styrmedel avseende resursutnyttjandet. Olika kostnadsrapporter per projekt (programändringar och underhåll) framtogs löpande. Detta kunde också förväntas, då olika former av kostnadskontroll och budgetuppföljning som regel tillämpas inom flertalet av ett företags avdelningar.

Däremot skilde sig rapporteringen av programändringar/nya system väsentligt mellan företagen. Cirka hälften av dem svarade nej på frågan om sammanställningar över programändringar/nya system löpande görs. Det verkar därför som om några fullständiga kontroller inom detta område ej tillämpas. Rapportering till användare av begärda men ej genomförda ändringar förekom dock hos de flesta företagen i vår enkät.

Programändringar och nya system kan således tas i drift utan att en löpande avstämning mellan system- och driftsavdelning sker. Detta kan leda till att ej godkända program tas i drift med konsekvenser både för kvaliteten på företagets redovisning och för dess förmögenhetsskydd. Vår erfarenhet vid genomgångar av ADB-verksamheten vid andra företag är att denna brist i internkontroll oftast accepteras för att underlätta systemavdelningens arbete. Då programändringen/programmet är klart, skall systemutvecklaren kunna ersätta tidigare programversion med den ändrade versionen utan att först behöva avstämma ändringen med ansvarig driftspersonal. Även om detta kan innebära viss tidsbesparing, öppnas möjligheterna för programmanipulationer och felaktigheter.

Det finns idag olika mjukvaror för administration och kontroll av programändringar. Genom användande av några av dessa kan systemavdelningens arbete underlättas samtidigt som en bättre kontrollmiljö skapas.

Drift

De frågor som medtogs i vår enkät angående drift indelades i dels drift generellt, dels drift i on-line-miljö. Våra frågor har medtagits i tabell 2.

Tabell 2. Enkätfrågor angående styrning av datordriften.

DRIFT – ENBART ON-LINE

A. Utnyttjande av resurser (huvudsakligen kostnadseffektivitet)

  • Framtas löpande statistik över svarstider för olika terminaler? Kan procentuell fördelning inom olika svarsintervaller tas fram och med vilken periodicitet (varje dag, månadsvis etc)?

  • Framtas löpande statistik över antalet transaktioner per dag och deras fördelning under dagen samt genomsnittlig svarstid per dag?

  • Övrig rapportering?

B. Drifts- och informationssäkerhet

  • Sammanställs loggning av misslyckade försök till access (åtkomst) till terminal (s k Violation Reports)? Visar denna sammanställning på vilka terminaler försöken gjorts, tidpunkten för dem samt annan lämplig information?

  • Informeras företagsledningen om ändringar i lösenord?

  • Övrig rapportering?

Av våra enkätsvar kan två slutsatser dras. Företagen har bra medel för den tekniska styrningen av driften, såsom uppföljning av datorbearbetning, -transport och -lagring, uppföljning av belastning/kapacitetsutnyttjande av processor (CPU), uppföljning av olika datorbearbetningar (on-line, satsvis, TSO etc), kanalbelastning och statistik för paging (i samband med användande av virtuell minnesteknik). För detta krävs att olika rapporter/nyckeltal löpande tas fram med hjälp av de tekniska styrmedlen. Sådana nyckeltal, på vilka exempel tagits med i våra enkätfrågor, bör löpande genomgås av driftsansvarig och ADB-ledning så att eventuella driftsproblem och -störningar omgående kan åtgärdas.

Den andra slutsatsen är att tekniker för drifts- och informationssäkerhet skulle kunna förbättras. Även om den tekniska styrningen av driften främst inverkar på hur effektivt driften kan ske ur kostnadssynpunkt, har den även en inverkan på driftsäkerheten. Den ständiga uppföljningen av driften syftar också till att förhindra avbrott och andra störningar i verksamheten, vilka i sin tur skulle kunna innebära att väsentlig information förstörs eller går förlorad. En god teknisk driftsmiljö är därför till gagn även för datasäkerheten.

Att den tekniska driftsmiljön prioriteras är i viss mån förståeligt; det kan innebära direkta kostnadsbesparingar och ADB-anställda stimuleras i regel av att få arbeta med ”det senaste” i teknikväg. Utvecklingen lär också gå mot en självgående driftsmiljö, d v s driften hanteras mer eller mindre enbart av dataanvändarna och ej av någon särskilt avdelad driftspersonal. Men detta utesluter inte behovet av data- och driftsäkerhet.

Driftsäkerhet – Förbättringar kan ske

Som nämnts ovan under Systemutveckling rapporterade flertalet av företagen i vår enkät att sammanställningar av programändringar/nya system ej görs. En avlämnings- och avrapporteringsrutin bör finnas för både system- och driftsavdelning avseende nya program/programändringar som ett led i datasäkerheten.

Som väntat genomgås ej maskinloggar löpande eller stickprovsvis för att jämföra planerad med faktisk drift. Denna kontrollteknik anses förmodligen alldeles för tidskrävande och kostsam i förhållande till sitt syfte. För kontroll av att driften verkligen skett som planerat och på ett behörigt sätt nöjer man sig med att genomgå olika nyckeltal/statistik för driften (se nedan).

DRIFT – GENERELLT

A. Utnyttjande av resurser (huvudsakligen kostnadseffektivitet)

  • Används någon form av mjukvara för uppföljning av datorbearbetning, -transport och -lagring? Beskriv vilken och vilka funktioner/driftsaspekter den följer upp. Används grafik?

  • Tas statistik över CPU-utnyttjande fram mera löpande? Visar statistiken CPU-utnyttjande under olika delar av dagen?

  • Framtas statistik över CPU-användning med uppdelning på applikationer, operativsystem och input/outputfunktioner? Hur ofta framtas denna statistik och hur är den uppbyggd?

  • Framtas statistik över CPU-användning för olika datahanteringar såsom on-line-system, TSO-applikationer, TSO-informationscenter, systemtest, systemunderhåll etc? Hur ofta framtas denna statistik och hur är den uppbyggd?

  • Tas statistik för kanalbelastning, t ex månadsvis, fram? Om så, hur är den strukturerad?

  • Framtas statistik för paging, såsom medelvärde per sekund, eller annan statistik över lagring av data?

  • Övrig rapportering?

B. Drifts- och informationssäkerhet

  • Finns löpande statistik, t ex för varje månad och ackumulerat, över systemets oplanerade, planerade och totala antalet avbrott/stopp samt uppdelat på olika hårdvaru(maskin)enheter? Om så är fallet, var vänlig och beskriv hur denna statistik är uppbyggd. Notera också ifall ”Meantime Between Failure” (MTBF), ”Meantime To Recover” och ”Meantime To Repair” statistik framtas.

  • Sammanställs periodvis programändringar/nya program som tagits i drift? I så fall, hur?

  • Genomgås maskinloggar löpande eller stickprovsvis för kontroll av att faktisk drift överensstämmer med planerad drift? Sammanställs funna avvikelser i dessa genomgångar och i så fall på vilket sätt?

  • Övrig rapportering?

Ett mått på att driften sker på ett kontrollerat sätt är – som nämnts ovan – antalet driftsavbrott och anledningarna därtill. Dessa bör därför följas upp och kommenteras, vilket skedde av samtliga företag i vår enkät.

Drift i on-line-miljö

Liksom för övrig drift prioriteras även för drift i on-line-miljö aspekter rörande kostnadseffektivitet, medan säkerhetsaspekterna kommer i andra hand. Driftstatistik avseende svarstider, antalet transaktioner och deras fördelning över dagen etc framtas sålunda löpande. Annan statistik som framtas är antalet transaktioner per avdelning och transaktionstyp, transaktioner som överstiger viss tid etc.

Säkerhetsaspekterna i on-line-miljö berör i synnerhet tillgång till systemet, d v s behörig användning av lösenord och uppföljning av denna. Av de tillfrågade företagen i vår enkät tillämpade enbart hälften loggning av misslyckade försök till intrång i systemet samt informerade företagsledningen om ändringar i lösenord. Även om företagen ej tillfrågades i detalj om deras behörighetssystem, kan man misstänka att de innehåller fler brister än avsaknaden av dessa övergripande kontroller. I och med att företagsledningen ej informeras eller önskar bli informerad om ändringar i lösenord och andra väsentliga aspekter i administrationen av behörighetssystemet (t ex i form av en kortfattad rapport – högst en sida – kvartalsvis) har de tyvärr ej uppmärksammat väsentliga datasäkerhetsfrågor i on-line-miljö. Detta är märkligt med tanke på all annan information som löpande tillförs företagsledningen, information som borde vara av lägre prioritet än frågor om behörighetskontroller.

Sammanfattning

ADB-ledningen har genomgående en bra teknisk uppföljning av driften, bl a med hjälp av olika nyckeltal. Kontrollen av avdelningens ”mjuka” del – systemsidan – är inte lika väl strukturerad.

I uppföljningen av driften ligger i viss mån också kontroller som rör datasäkerheten, men generellt synes uppföljningen av datasäkerheten satt på undantag.

I ADB-avdelningens uppföljning skapas grunden för den rapportering som kan ske till företagsledningen. Vårt intryck av enkätsvaren är att företagsledningen saknar underlag för tidig reaktion på en ogynnsam kostnads- och/eller säkerhetsutveckling.

För att dessa brister i styrning i ADB-verksamheten skall kunna rättas till och att datasäkerhetsaspekterna skall kunna prioriteras ytterligare, krävs nog att företagsledningen ställer ytterligare krav på styrning och rapportering av ADB-verksamheten. Nuvarande former samt innehåll/struktur för styrning och rapportering bör därvid ifrågasättas och kritiskt genomgås. Detta bör skapa möjligheter till ökad effektivitet och säkerhet i ADB-verksamheten.

Gilbert Larsson, auktor revisor och Tommy Mårtensson, auktor revisor