Svakheter, mangler og sikkerhetsrisiko

Svakheter, mangler og sikkerhetsrisiko

KRONIKK: Difi-direktør Hans Christian Holte snakker ut om kritikken.

"Svakheter i oppgaveløsningen, mangelfull samhandling og alvorlige svakheter på informasjonssikkerhetsområdet." Det var riksrevisorens budskap til oss på tirsdag.

Det er noe eget med pressemeldingene til Riksrevisjonen når de legger frem det årlige "Dokument 1" – den årlige regnskapsrevisjonen for departementene med underliggende virksomheter. Språket er langt fra tabloid – tørt, saklig og fattig på adjektiver. Men statsråder, departementsråder og direktører leser allikevel meldingen med angst og konsentrasjon, vel vitende om at det ikke bør stå for mye om egen virksomhet der. "Gladnyhetene" fra revisjonsarbeidet vies relativt liten plass i meldingen, for å si det sånn. Frykten er dagen etter å befinne seg i fete typer og med friskere språkbruk på forsiden av Aftenposten, under bildet av en alvorstung Kosmo, som "fillerister", "refser" eller "slakter" virksomheten.

Første setning over gjengir overskriften på tirsdagens pressemelding om Dok 1 fra Riksrevisjonen. Overskriften, pressemeldingen, og selve Dok 1 er en god illustrasjon på at it er integrert i forvaltningens oppgaveløsning og utvikling på en annen måte enn tidligere. Samhandling, informasjonsflyt, informasjonssikkerhet, er (eller bør være) grunnleggende kvaliteter i det offentlige. Den forståelsen står nå sterkere, både i forvaltningen selv og på revisjonssiden. Men overskriften er også en bekreftelse på at det offentlige stadig sliter på it-området. Riksrevisjonens ferskeste Dok 1 er bare den siste i rekken av rapporter og undersøkelser som peker på svakheter i offentlige it-prosjekter. Svakhetene er blant annet knyttet til budsjettoverskridelser, forsinkelser, og manglende gevinstrealisering og helhetstenkning i løsningene.

Stort tankekors

Utfordringene er ikke særnorske. Danskene gir samme diagnose på egen satsing i rapporten "Profesionalisering af arbejdet med it-projekter i staten", som Finansministeriet la frem rett før sommeren. Danskene peker på manglende prosjektmodenhet, for svak risikohåndtering og svakt samarbeid mellom oppdragsgiver og leverandør som hovedårsaker til problemene. Vi har hatt en god utveksling av erfaringer med danskene de siste månedene, og det har vært nyttig. Vi møter i stor grad samme utfordringsbilde, og vi kan lære av hverandre når det gjelder å finne tiltak for å bedre situasjonen. Flere av tiltakene danskene nå setter i verk har norske paralleller, blant annet felles prinsipper for it-utvikling, sterkere innslag av risikovurdering og håndtering, og ekstern kvalitetssikring.

Det som imidlertid er et stort tankekors, er hva vi finner ved å sammenlikne diagnosen i norske og danske analyser av året med "FASIT"-rapportene som Statskonsult kom med på siste halvdel av 90-tallet (FASIT: Fallgruber og suksesskriterier i store statlige it-prosjekter). Det er slående hvordan diagnosen er den samme. Det dreier seg om manglende prosjektmodenhet, svak risikohåndtering, sviktende leverandørsamarbeid. Hvis vi skjønte dette på 90-tallet – hvordan kan vi tillate oss å gjøre de samme feilene i dag? Danskene går til kjernen i saken når de også peker på at diagnosen har blitt stilt før (i deres tilfelle i 2001), og sier: "¿en fremadrettet innsats består ikke i flere vejledninger og gode råd. Det er brug for et generelt løft af arbejdet med it-projekter i staten gennem en mere forpligtende og fælles indsats".

Ikke nok

Jeg er enig med danskene. Vi må styrke trykket på it-utviklingen i forvaltningen, utover veiledning, kvalitetssikring og revisjon. Det gjelder både profesjonalisering av prosjektene og styring og samordning mellom virksomheter. Mål- og resultatstyringen må systematisk ta opp i seg samordningsbehov og gevinstrealisering i mye sterkere grad enn det som skjer i dag. Sterkere samordningsarenaer må etableres på tvers av sektorene, både på departementsnivå og på virksomhetsnivå.

Veiledning er viktig, men langt fra nok.