Vejledning om risikovurdering af IT-projekter

Relaterede dokumenter
Risikovurdering til aktstykke

Erhvervsudvalget ERU alm. del Bilag 47 Offentligt. Bilag. Økonomi- og Erhvervsministeriet. København, den 9. november 2009.

Kvartalsrapport vedr. fase 1 af SKATs systemmodernisering for 1. kvartal 2007

VEJLEDNING TIL RISIKOVURDERINGER

Aktstykke nr. 60 Folketinget Bilag. Justitsministeriet. København, den 22. januar 2013.

Aktstykke nr. 28 Folketinget Afgjort den 19. november Økonomi- og Erhvervsministeriet. København, den 9. november 2009.

Aktstykke nr. 118 Folketinget Bilag. Justitsministeriet. København, den 13. juni 2017.

Kvartalsrapport vedr. fase 1 af SKATs systemmodernisering for 1. kvartal 2008

Bilag Afgjort den 28. maj Justitsministeriet. København, den 13. maj 2014.

LANDGREVEN 4, POSTBOKS KØBENHAVN K TLF: Risikovurdering af it-projekter

Notat til Statsrevisorerne om beretning om udviklingen af de nationale test. Juni 2010

ROLLEBESKRIVELSER I FORBINDELSE MED RISIKOVURDERINGER

a. Skatteministeriet anmoder hermed om Finansudvalgets tilslutning til at afholde merudgifter i forhold til det fortrolige

k01 pz /bilag 149 Justitsministeriet.

(Bilaget ligger på i pdfformat og word-format.)

VEJLEDNING TIL RISIKOVURDERINGER

Aktstykke nr. 110 Folketinget Bilag Afgjort den 18. juni Skatteministeriet. Skatteministeriet, den 8. juni 2009.

Anbefalinger for større kulturprojekter. Steen Kyed Kulturministeriet, afdelingschef

Københavns Kommunes erfaringer med IT-projektråd

Aktstykke nr. 33 Folketinget Finansministeriet. København, den 29. november 2016.

Ekstern kvalitetssikring af beslutningsgrundlag på niveau 1

VEJLEDNING TIL RISIKOVURDERINGER

Informationsteknologi - muligheder og forhindringer. Mogens Buch-Larsen, IT-chef i Hovedstadsområdets Trafikselskab.

IT-SIKKERHEDSPOLITIK UDKAST

Styregruppeformænd i SKAT Kort & godt (plastkort)

Balancen mellem de interne nødvendigheder og de eksterne påvirkninger reguleres i kommunens it-strategi som præsenteres herunder.

Århus Kommune *!% % %+!% $ $, % + #! -./, & 0 + /+!-1,-2 * '/% /!% $$% &', (% )3 + %! +! 4 # 3 # 5 + & 7 3! #*, 0/ +% $*! 8$%!!-2 * * 9!$, / -2! +!

Kulturministeriets vejledning til retningslinjer for køb af konsulenter September 2015 KØB AF KONSULENTOPGAVER I KULTURMINISTIET 1

Aktstykke nr. 11 Folketinget Afgjort den 22. oktober Forsvarsministeriet. København, den 14. oktober 2009.

I den forbindelse er målet med Sundhedsplatformen konkretiseret og gjort nemmere kommunikerbart.

Notat til Statsrevisorerne om beretning om Forsvarets procedurer for anskaffelse af større materiel. April 2014

Opgørelse af solvensbehov for Sparekassen Bredebro pr

Dagsorden til møde i styregruppen for Program for digital almen praksis

It-rådets arbejde og erfaringer fra gode projekter

Overordnet it-sikkerhedspolitik for Rødovre Kommune

Struktur på privatlivsimplikationsrapporten

Innovationsprojektforslag

Professionalisering af itprojektarbejdet

Identificering og imødegåelse af farer og risici

Nyt medlemssystem Fremgangsmåde ved valg af nyt medlemssystem

Overordnet It-sikkerhedspolitik

Overvejelser i forbindelse MED OUTSOURCING

VÆRKTØJ 5 SKABELON TIL IMPLEMENTERINGSPLAN

Vejledning om. procedureretningslinie for omstilling,

Ny anlægsbudgettering. Af Peter Jonasson

Individuelt solvensbehov 30. juni 2018

SOLRØD KOMMUNE ESDH. Projektorganisation. Bilag 5

Om Statens It-projektråd. Version 1.3

Skatteudvalget SAU alm. del - Bilag 38. Offentligt. Finansudvalget FIU alm. del - 9 Bilag 2. Offentligt. Til Folketingets Finansudvalg

En risikoanalyse i SOF (af en given opgave eller projekt) kan følge nedenstående 8 trin.

Notat til Statsrevisorerne om beretning om SKATs systemmodernisering. August 2015

Styring af anlægsprojekter. Tillæg til projekthåndbog.

Notat til Statsrevisorerne om beretning om styring af statslige digitaliseringsprojekter. August 2015

Folketinget - Finansudvalget. Hermed sendes svar på spørgsmål 1 4 ad. aktstk. 203

Hermed sendes svar på spørgsmål nr.1, 2, 3, 4, 5, 6, 7 og 8 af 24. maj 2006.

Risikoanalyse af implikationer for privatlivets fred

Bilag Afgjort den 5. maj Beskæftigelsesministeriet. København, den 29. marts Aktstykke nr. 99 Folketinget BE004575

Rapport om revisionen ved MedCom. September 2011

Vejledning om. procedureretningslinje for omstilling,

Talepapir - besvarelse af samrådsspørgsmål A og B om akt. 68 vedr. Vejdirektoratets byggeprojekter. Samrådsspørgsmål A

. Bestemmelser der indarbejdes i Samarbejdsbilaget samt i Kontrakten

Overordnet Informationssikkerhedspolitik

Forslag til. Vordingborg Kommunes. Overordnede bestemmelser. IT- informationssikkerhed

Individuelt solvensbehov 30. juni 2016

Kvalitetsledelseskrav til rådgiverydelser

Om Rådets arbejde og erfaringer fra gode projekter (hvad kendetegner disse) Konferencen Gode offentlige it-projekter

Ministeriernes projektkontor - rådgivning, modeller og myndighedernes samarbejde med It-projektrådet

Indledning... 1 Historik... 1 Beskrivelse af modellen... 1 Analyse at modellen... 2

GIS-strategiplan Helsingør Kommune. GIS-strategiplan 2008

LÆGERNES PENSIONSBANK A/S

Vedrørende Lægemiddelstyrelsens it-projekt DAHLIA

Projektplan Syddjurs Smart Community

OVERORDNET IT-SIKKERHEDSPOLITIK

Mini-PID Fælles Sprog III MedCom 11

Notat til Statsrevisorerne om beretning om Bygningsstyrelsens anvendelse af totaløkonomi i statslige byggeprojekter. November 2014

Rigsrevisionens notat om beretning om ministeriernes aktstykker om investeringsprojekter til Folketingets Finansudvalg

Nyt medlemssystem? Hør eksperterne! Groupcare Foreningernes hus

VEJLEDNING OM BESTYRELSESEVALUERING

Lønkontrol Implementeringsguide

Projektinitieringsdokument version 0.3. Organisering af AU Kommunikation. Aarhus Universitet

Bilag 8.1 Regler for bevillings- og budgetkontrol, budgetomplacering, tillægs- og anlægsbevillinger.

Implementering og indhentning af gevinster. Erfaringer fra DUBU

Skanderborg Kommune Dato: 21. Februar 2014 Rettet af: Vibeke Breuerbach Version:2. 14/ Projektindstilling

Forretningsorden for samarbejde

Beskriv baggrund for at implementer FlexRegnskab. Hvad skal implementeringen resultere i for kunden, de ansatte og rådgivningscentret?

BILAG 7 SAMARBEJDSORGANISATION

IT-sikkerhedspolitik for

Velfærd gennem digitalisering

Ministeriet for By, Bolig og Landdistrikter. København, den 8. januar Aktstykke nr. 66 Folketinget BV000153

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Projektbeskrivelse. Teledialog med anbragte børn og unge. Projektleder: Stinne Højer Mathiasen Senest revideret: Version: 1.

Notat til Statsrevisorerne om beretning om Forsvarets procedurer for anskaffelse af større materiel. Oktober 2015

2. Fødevareministeriet er en koncern

Kommissorium. Bæredygtighedsstrategi

Krav og vejledning til kommunernes fremtidige it-udbud

Kvartalsrapport vedr. Fase 2 af Skatteministeriets systemmodernisering for 1. kvartal 2011

a. Justitsministeriet anmoder om Finansudvalgets tilslutning til at videreføre anskaffelsen af et nyt sagsbehandlingssystem

Paradigme for PROJEKTHÅNDBOG. (virksomhed) (projektnavn) (version) (dato) Udarbejdet Kontrolleret Godkendt Navn Navn Navn Dato Dato Dato

Overvejelser i forbindelse MED OUTSOURCING

Skema rapportering Finansrådets Ledelseskodeks 2014 Andelskassen Fælleskassen

Transkript:

Vejledning om risikovurdering af IT-projekter 1. Indledning Gennemførelsen af IT-projekter er forbundet med risiko. Nogle risici har institutionerne selv indflydelse på. Andre risici er det ikke muligt at påvirke. IT-projekter kræver ofte ændringer i ansattes kompetencer samt i den måde den offentlige sektor organiserer sig på. Desuden sker der på ITområdet en hurtig teknologisk udvikling. Der er dog ikke kun risiko forbundet med gennemførelse af IT-projekter. Der vil også være risiko forbundet ved, at den offentlige sektor ikke anvender den ny teknologis muligheder. Derved vil den offentlige sektor ikke i fremtiden være i stand til at opfylde de krav, som stilles af borgere og erhvervsliv. Det er derfor ikke et mål i sig selv at undgå risiko, men derimod at sikre, at der er en fornuftig balance mellem omkostninger, fordele samt den tilhørende risiko. Igangsætning af et IT-projekt bør først ske efter, at der er gennemført en risikovurdering, der omfatter de væsentligste elementer, der kan have betydning for projektets gennemførelse. Efter Budgetvejledningen er der pligt til at foretage risikovurdering i forbindelse med IT-projekter, der inden igangsætningen skal forelægges for Finansudvalget. Forelæggelsen af risikovurderingen for Finansudvalget er en status for det forarbejde, der sker i forbindelse med igangsættelse af et IT-projekt. Der bør herunder gøres rede for de foranstaltninger, som iværksættes for at minimere risici. Vejledningen beskriver minimumskravene til gennemførelse og dokumentation af risikovurderinger af IT-projekter, der er omfattet af Budgetvejledningens punkt 2.6.13. Risikovurderingen kan kun anses som en lille del af den samlede risikostyring, der skal gennemføres ved et hvert større IT-projekt. Vejledningen angiver desuden, hvordan resultatet af risikovurderingen skal indarbejdes i aktstykket, jf. Budgetvejledningens punkt 3.5.2. Uanset at vejledningen kun direkte omfatter de IT-projekter, der er omfattet af Budgetvejledningen 2.6.13., anbefales det, at procedurerne også gennemføres i forbindelse med mindre IT-projekter.

2 Budgetvejledningen lægger i afsnit 2.6.13.1. op til, at projekter i videst muligt omfang faseopdeles. Risikovurderingen skal i den sammenhæng foretages for den enkelte fase. Opdelingen bør ske i forhold til faser, der har en egen nytteværdi, der i det alt væsentlige modsvarer de afholdte udgifter, uanset at de øvrige faser ikke gennemføres. Omfanget af risikovurderingen bør i øvrigt afhænge af projektets størrelse samt de ændringer, som følger af projektet. Det er i øvrigt vigtigt at holde sig for øje, at værdien af en risikovurdering hovedsagelig er tilknyttet den information, som kan erhverves ved at anvende risikovurderingen som et løbende værktøj til at følge udviklingen af et IT-projekt. Vejledning i risikostyring findes på www.e.gov.dk, men for hvert IT-projekt bør der udarbejdes individuelle retningslinier for en løbende risikostyring. Forudsætninger samt løsningsmodeller vil udvikles i løbet af projektperioden, hvilket vil påvirke risikofaktorerne og dermed projektets tidsplan, funktionalitet og omkostninger. Kernen i god projektstyring er at kunne tilpasse et projekt, når disse ændringer bliver kendt. Det er et ledelsesmæssigt ansvar at sikre sig, at risikovurderingen efter forelæggelsen for Finansudvalget anvendes som et konstruktivt værktøj til at fastholde balancen mellem omkostninger, funktionalitet og risiko. Da en risikovurdering i vidt omfang er erfaringsbaseret, forudsættes den gennemført af en erfaren projektleder, der blandt andet kan trække på erfaringer fra lignende projekter, eventuelt kan projektlederens kvalifikationer styrkes ved brug af ekstern hjælp. 2. Risikovurdering Til brug ved forelæggelse af et IT-projekt for Finansudvalget skal myndigheden som minimum kunne dokumentere en risikovurdering efter nedenstående retningslinier. Risikovurderingen er opdelt i følgende 4 hovedområder: Organisation Teknisk løsning Leverandører Interessenter For de enkelte hovedområder skal vurderingen omfatte en række specifikke risikofaktorer, der erfaringsmæssigt har vist sig at udgøre risici ved gennemførelse af IT-projekter. Af bilag 1 fremgår de oftest forekommende risikofaktorer, der skal tages stilling til ved enhver risikovurdering af et større IT-projekt. Myndigheden skal desuden supplere med de risikofaktorer, der vurderes at være

3 særlige for projektet. Bilaget udgør alene en skabelon for opstilling af risikofaktorerne, men myndigheden kan også anvende egne skabeloner. Risikoniveau På de enkelte risikofaktorer, jf. bilag 1, skal myndigheden inden for en skala på 1 (lav risiko) til 5 (høj risiko) angive, hvor i forhold til de 2 yderpunkter IT-projektets risikoniveau ligger. Pointgivningen skal ske uden hensyntagen til, om der allerede er taget højde for risikoen i projektplanen. Skal der for eksempel gennemføres væsentlige organisatoriske ændringer, skal dette angives med en høj score, selv om ændringen er indarbejdet nøje i projektplanen. For de risikofaktorer, hvor risikoniveauet er på 3 eller derover skal myndigheden redegøre for sandsynligheden for, at risikoen bliver aktuel, herunder hvilke tiltag der er taget for at minimere risikoen, og hvilke afværgeforanstaltninger der er planlagt for at begrænse konsekvenserne i tilfælde af, at risikoen bliver aktuel, herunder konsekvensernes indvirkning på o tidsplan o funktionalitet samt o udviklings- og driftsbudget. 3. Fremstilling af risikovurdering i aktstykke Resultatet af den i bilag 1 beskrevne risikovurdering skal i komprimeret form indarbejdes i aktstykket, hvori der søges om tilslutning til igangsætning af IT-projektet. Skemaet nedenfor, der skal fremgå af aktstykket, udfyldes med myndighedens vurdering af risikoniveauet på de enkelte hovedområder, og for projektet som helhed. Risikoniveauet fastlægges ud fra en samlet vurdering af områdets risikofaktorer. Risikofaktorer med et højt risikoniveau bør veje tungt, da én risikofaktor med et højt risikoniveau i sig selv kan gøre hovedområdet til et højrisikoområde. Ligeledes kan samspillet mellem flere mindre risikofyldte faktorer godt udgøre et samlet højrisikoområde. Der skal derfor ikke foretages en gennemsnitsberegning af delrisikovurderingerne.

4 Risikoområde Organisatoriske forhold Teknisk løsning Leverandør Interessenter Risikoniveau 1 2 3 4 5 Samlet vurdering For hvert af de nævnte hovedområder skal myndigheden redegøre for; hvilke væsentlige risici området indeholder; sandsynligheden for, at risiciene bliver aktuelle og herunder hvilke foranstaltninger, der er gjort for at minimere risiciene. I den forbindelse skal man være opmærksom på, at mangelfuld gennemførelse af selv små IT-projekter kan få væsentlige konsekvenser for borgere og virksomheder. I forelæggelsen bør der derfor også i nødvendigt omfang redegøres for sådanne samfundsmæssige risici. Derudover skal der redegøres for, hvilke afværgeforanstaltninger der er planlagt for at begrænse konsekvenserne i tilfælde af, at de bliver aktuelle. Der skal herunder redegøres for konsekvensernes indvirkning på tidsplan, funktionalitet og udviklings- og driftsbudget. Endelig skal der gives en afsluttende samlet redegørelse for projektets risikoniveau. Som modvægt til beskrivelsen af risikofaktorerne bør indstillingen indeholde en beskrivelse af, hvilke konsekvenser der er ved ikke at gennemføre projektet. Omfatter aktstykket flere selvstændige faser af IT-projektet, skal der udarbejdes et skema og en redegørelse for hver enkelt fase og et skema og en redegørelse for det samlede projekt. Er projektet opdelt i flere faser, hvor aktstykket kun omfatter den ene, skal der redegøres for, hvilken betydning risici kan få for resten af projektet. Afslutningsvis anbefales det, at der gives en samlet beskrivelse af, hvordan risikostyringen er planlagt gennemført under projektet.

5 Bilag 1 Vejledning om dokumentation for foretaget risikovurdering ved forelæggelse af IT-projekter for Finansudvalget Organisation Niveau Risikofaktor 1 2 3 4 5 Ligger projektet uden for (høj) eller inden for (lav) myndighedens IT-strategi. Anvendes der en teknisk løsning, som organisationen ikke har kendskab til (høj) eller en kendt teknologi Har organisationen ringe erfaring (høj) eller stor erfaring (lav) med gennemførelse af IT-projekter. Har det været nødvendigt at nedsætte en ny og ikke så erfaren projektgruppe (høj) eller gennemføres projektet med en erfaren og velafprøvet projektgruppe Er hele organisationens kompetence inddraget i projektet (høj), eller er det muligt at tilføre yderligere kompetence Er projektet det første af sin art (høj), eller er der tidligere eksternt eller internt udviklet et sammenligneligt projekt (lav), hvorfra der kan hentes erfaringer. Skal der gennemføres organisatoriske ændringer (høj), eller kan der tages udgangspunkt i en bestående organisation Er projektet afhængigt af, at brugerne deltager i en omfattende oplæring (høj), eller er ingen oplæring nødvendig Er projektet betinget af, at der gennemføres væsentlige ændringer af forretningsgangene i organisationen (høj), eller bygger projektet på eksisterende forretningsgange (Særlige risikofaktorer for det konkrete projekt)

6 Teknisk løsning Niveau Risikofaktor 1 2 3 4 5 Omfatter projektet udvikling af ny teknologi (høj) eller bygger projektet på anvendelse af standardprodukter/kendt teknologi Omfatter projektet anvendelse af et samspil af mange standardprodukter (høj) eller kun anvendelse af få standardprodukter, hvis samspil er almindeligt anvendt Er der stor risiko for en hurtig forældelse af den tekniske løsning (høj), eller er projektet allerede forberedt på næste teknologispring Er projektet meget komplekst (høj) eller enkelt Forventes anvendt en teknologi, der er attraktiv ved rekruttering af nye medarbejdere (lav) eller en teknologi, hvor det kan blive vanskeligt at rekruttere medarbejdere med tilstrækkelig høj kompetence (høj). Skal IT-systemet forvalte et regelsæt, der må forventes ændret væsentligt under projektet gennemførelse (høj), eller er regelsættet stabilt Skal der etableres mange snitflader til andre systemer (høj) eller er systemet et stand-alone Er IT-projektet afhængigt af tilretninger i andre systemer (høj) eller uafhængigt af tilretninger Skal der ske en omfattende konvertering i forbindelse med implementeringen (høj), eller skal der ikke ske nogen konvertering Er der ingen mulighed for, at konverteringen kan køres tilbage (høj), eller kan der etableres procedurer for tilbageløb (Særlige risikofaktorer for det konkrete projekt)

7 Leverandør Niveau Risikofaktor 1 2 3 4 5 Er det svært at finde en erfaren og velkonsolideret leverandør (høj), eller findes der flere erfarne og velkonsoliderede leverandører på markedet Er det nødvendigt at inddrage flere leverandører i projektet (høj), eller forventes projektet gennemført ved en leverandør Er tidsplanen for gennemførelse af projektet stram og ufravigelig (høj) eller kan tidsplanen strækkes uden væsentlige gener (Særlige risikofaktorer for det konkrete projekt)

8 Interessenter* Niveau Risikofaktor 1 2 3 4 5 Skal projektet udvikles i samarbejde med mange interessenter (høj), eller skal projektet udvikles uden samarbejde med interessenter Er interessenterne kritisk (høj) eller positivt (lav) indstillet overfor projektet. Er der stor offentlig bevågenhed for projektets gennemførelse (høj) eller kan der ikke forventes særlig fokus på projektet Involverer projektet mange interessenter, men hvor det kun er myndigheden selv, der har nytte af IT-projektet (høj), eller ligger nytteværdien af projektet hovedsageligt hos de eksterne interessenter (Særlige risikofaktorer for det konkrete projekt) Note: *Interessenterne kan omfatte både interne og eksterne, ligesom de kan omfatte interessenter, som myndigheden har og ikke har ledelsesbeføjelser over for.

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback