POLSAG, DACCIS, Civil straffe, PROASK, EFI, Amanda… siger navnene dig noget? Det er navnene på kuldsejlede statslige it-systemer, som har belastet de offentlige budgetter og forsinket digitaliseringen af det offentlige Danmark.

I 2010/2011 var vi som del af Finansministeriet med til at etablere Statens It-råd og implementere en fælles statslige it-projektmodel. Med baggrund i bl.a. de førnævnte kuldsejlede offentlige it-projekter skulle der mere styr på it-projekter i staten. Alle it-projekter i staten med et budget på over 10 millioner kroner skulle have en businesscase, og de skulle risikovurderes af Statens It-råd før igangsætning, statusrapportere til regeringen under gennemførelsen og rapportere på gevinstrealisering efter projektafslutning. Siden 2014 har vi i regi af Black Swan Institute hjulpet offentlige myndigheder med at blive bedre til risikohåndtering, når de skal styre større digitaliseringsprojekter og -programmer.

På konferencen ”Offentlig Digitalisering” i Aarhus d. 13.-14. marts præsenterede vi sammen med Statens It-råd en erfaringsopsamling: Hvad vi har lært af de første 8 år med fælles rammer for styring af it-projekt i staten.I løbet af de otte år er 108 it-projekter blevet risikovurderet i Statens It-råd, og projekterne har statusrapporteret til Statens It-råd halvårligt/årligt. Det betyder, at vi nu har en række data for statslige it-projekter, som gør det lettere at forstå, hvad statslige it-projekter er, hvad der kan gøre dem risikofyldte og hvordan vi kan blive bedre til at nå i mål med projekterne. Der er blevet risikovurderet it-projekter med samlede projektudgifter for mere end 4 milliarder kroner. Skatteministeriet, Finansministeriet og Justitsministeriet har fået risikovurderet flest projekter og står, som det fremgår af nedenstende figur, for den største andel af de statslige projektudgifter, der udgør porteføljen.

Samlede projektudgifter fordelt på ministerområde 2011-2017

 

Vi kan med data fra otte års risikovurderinger også begynde at sige noget om, hvilke typer af it-projekter, det er, som staten gennemfører. I projektmodellen skelnes der mellem effektiviserings-, kvalitetsløft- og lovgivningsprojekter. Kvalitetsløftprojekter udgør de største del af porteføljen.Denne tredeling af projekterne siger imidlertid ikke så meget om, hvad projekterne leverer. Nedenfor fremgår nogle eksempler fra porteføljen, som overordnet kan struktureres efter hvilke typer af løsninger, som projekterne leverer – her fordelt på forvaltningssystemer, administrative systemer, indberetningsløsninger og fællesoffentlig infrastruktur.

Black Swan Institute

Statens It-råd forsøger at hævde en række principper for gode it-projekter i staten. Her hedder det bl.a., let oversat, at projekterne skal søges minimeret i omfang, og modenheden i organisationen skal stå mål med den kompleksitet, som udviklingsprojektet har. Det gennemsnitlige statslige it-projekt i porteføljen koster 68 millioner kroner og varer 4,2 år at gennemføre.

Gennemsnitlige projektudgifter fordelt på ministerområde 2011-2017

Skatteministeriet og Finansministeriet har mange og store it-projekter, men et par it-mæssigt mindre ministerier har også it-projekter, som er større end gennemsnittet.

Statusrapport

I projektmetodens natur ligger at scope, og dermed udvikler planer og budget sig ofte over tid. Derfor er det ikke overraskende, at over halvdelen af projekterne ved projektafslutning er forsinkede ift. deres oprindelige tidsplan.Dette bidrager også ofte med en tilhørende budgetoverskridelse for disse projekter. De foreløbige tal, vi har set for budgetoverskridelser, tyder dog på, at godt nok fordyres en række statslige it-projekter fortsat, men samtidig blev en række projekter tilsyneladende også billigere end oprindelig forudsat. Vi håber snart at kunne understøtte disse pointer med mere håndfaste data. Dokumenterbart er det imidlertid, at næsten halvdelen af it-projekterne bliver færdig til eller før planlagt tid.

Afsluttede projekter

Vi har også nu adgang til data, som siger noget om, hvad det er for risikoområder og typer af anbefalinger, som Statens It-råd har givet de projekter, som er blevet risikovurderet. Antallet af anbefalinger fra It-rådet til projekterne fordelt på risiko-temaer fremgår nedenfor.

risiko-temaer

De 5 oftest forekommende risikoområder handler om:

  1. risici ift. projektets mål og gevinstrealisering (fx. ofte uklare forretningsmæssige mål og planer for gevinstrealisering)
  2. risici ift. projekternes tidsplan (fx. forhold omkring anskaffelsesplaner, planer for udviklingsforløb med mange eksterne afhængigheder, pressede implementeringsplaner)
  3. risici ift scope (fx. uklarheder omkring projektets forretningsmæssige scope)
  4. risici ift. styring (fx uklarhed omkring projektets styringsmodel ift. organisationens porteføljestyring, styring på tværs af flere myndigheder)
  5. risici ift. organisatorisk implementering (fx er der afsat ressourcer og nødvendige aktiviteter til at understøtte kompetenceløft og nødvendige adfærdsændringer hos modtagerne af projektets løsning).

En række af projekterne i porteføljen af statslige it-projekter har også angivet, hvem de anvender som ekstern it-leverandør. Som det fremgår, er en række store it-leverandører ikke overraskende deltagere i flere projekter, og en lang hale af mindre leverandører repræsenterer enkelte projekter.

Vi har foretaget en række analyser af sammenhængen mellem projektfremdrift og leverandørdeltagelse for at se, om der er nogle mønstre i leverandørernes effektivitet. Det er nok for tidligt at konkludere på dette på det nuværende datagrundlag, men det vil i de kommende år blive interessant at bruge disse data til at gøre de statslige myndigheder klogere på, hvilke leverandører der er mest effektive til at levere på de forskellige projekttyper.

61 it-projekter

Statens it-projektmodel og processerne for hvordan og hvornår, der skal risikovurderes, er ikke statisk. I efteråret 2018 gennemgik den en større opdatering, som bl.a. gør, at Statens It-råd nu risikovurderer projekterne tidligere (tre måneder inde i analysefasen frem for ved analysefasens afslutning) for at give bedre mulighed for, at projekterne kan indarbejde rådets anbefalinger.

Endvidere giver it-projektmodellen nu bedre mulighed for, at myndigheder arbejder med agil udvikling i deres udviklingsprojekter.

Risikotendenser på fremtiden

Der er mange erfaringer at trække på med data for 8 års it-projekter i staten, og med It-rådets besøg i de statslige myndigheder et godt grundlag for at få delt vigtigt viden om, hvordan vi bedst risikominimerer de statslige it-projekter og sikrer størst mulig gevinst. Det er imidlertid også vigtigt at bruge risikoperspektivet til at se fremad. Vi ser fem vigtigt risikotendenser, som de offentlige myndigheder bør forholde sig ledelsesmæssigt til:

  1. Større forbundethed giver gensidige afhængigheder. Svage led i kæden bliver sårbarhed for alle.
  2. Systemporteføljen bliver i stigende grad en del af risikobilledet.
  3. Behovet for fælles visioner og tydelige målbilleder bliver vigtigere.
  4. Risikoledelse bliver centralt for at kunne håndtere skiftende risikoperspektiver.

Ad 1) Digitalisering går på tværs af sektorer, og it-projekter kan sjældent ses isoleret. Der er behov for at kunne styre og håndtere afhængigheder mellem organisationer, systemer og processer. Dette kræver ledelse, klare aftaler og tværgående risikostyring.

2) En lang række af it-projekterne omhandler genudbud og opgradering af den eksisterende systemportefølje. Ifølge et kasseeftersyn, som Regeringen har gennemført i 17/17, er det estimeret, at staten samlet set har ca. 3800 it-systemer.Det vurderes i den sammenhæng, at ca. 377 it-systemer er kritiske for samfundet. Af disse vurderes 117 af de kritiske it-systemer at have en utilstrækkelig systemtilstand. Risikostyring af systemporteføljen skal kunne håndteres i tæt sammenhæng med udviklingsporteføljen.

3) Når it-projekter drives med utydelige forretningsmæssige mål og i højere grad ud fra tekniske behov, opstår der ofte risiko for, at projekterne ikke bliver succesfulde. Der er brug for, at projekter og programmer styres ud fra tydelige forretningsmæssige visioner og mål – hvad er det forretningen og borgere/virksomheder og medarbejdere skal opnå med vores it-løsninger?

4) Risikostyring er en projektledelsesdisciplin, som er nødvendig for at kunne styre leverancer i et projekt op imod projektmål. Modenheden i risikostyring kan stadig øges mange steder i den offentlige sektor.På styregruppe og virksomhedsniveau er der brug for risikoledelse, som er en ledelsesdisciplin, der understøtter prioritering og styring af projekter, programmer og portefølje ud fra myndighedens forretningsstrategier og forretningsmæssige mål.

Artiklen er også publiceret på netmediet Digitech 18. marts 2019