Aktstk. 197 - 2023-24 - Bilag 1: It-rådets opfølgning på projektet IAM

Finansudvalget 2023-24
Aktstk. 197 § 11 Bilag 1
Offentligt

Side. 2. af.

Finansudvalget 2023-24

Aktstk. 197 - § 11 Bilag 1

Offentligt

Rigspolitiet

Att.: Centerchef Kasper Schiøt t

4. april 2024

It-rådets opfølgning på projektet

IAM

Kære Kasper Schiøth

Statens It-råd har gennemført et opfølgningsforløb med Rigspolitiets projekt IAM

– Identity Access Management - d. 12. marts 2024. Opfølgningen er blevet iværksat,

da projektet grundet flere forskellige forhold er væsentligt forsinket og fordyret.

Fordyrelsen betyder, at projektet nu overstiger 70 mio. kr. og Justitsministeriet skal

derfor forelægge akstykke for Folketingets Finansudvalg.

Formålet med IAM er at øge sikkerheden, effektiviteten og gennemsigtigheden i

Rigspolitiets brugeradgange gennem at implementere et standardsystem for ad-

gangsstyring.

På baggrund af opfølgningsmødet har It-rådet nye observationer og anbefalinger til

projektet, som Rigspolitiet kan vedlægge aktstykket som It-rådets aktuelle vurdering

af projektets status og fremdrift, jf. Budgetvejledningens pkt. 2.2.18.1.2.

Projektets vurderes fortsat at have

normal risiko.

Projektet anbefales ikke et eks-

ternt review.

IAM-projektet blev risikovurderet i efteråret 2017 og har siden været præget af for-

sinkelser både i anskaffelses- og gennemførelsesfasen. Siden 1. halvår 2022 har pro-

jektet været tildelt et rødt trafiklys ved Statens It-råds statusrapportering, og rådet

har holdt flere opfølgningsmøder med Rigspolitiet om projektet. Rigspolitiet kon-

staterede i andet halvår 2022, at det ikke var muligt at skabe den fornødne fremdrift.

Rigspolitiet har således gennem længere tid arbejdet med at tilvejebringe en opda-

teret plan for at færdiggøre projektet og valgte i den forbindelse at sætte den eks-

terne udviklingsleverandørs arbejde i bero i begyndelsen af 2023.

Rigspolitiet foretog i foråret 2023 en tværgående prioritering af politiets udviklings-

ressourcer, hvor IAM indgik som et af de prioriterede it-projekter. Med henblik på

at styrke Rigspolitiets arbejde med Identity Acces Management etablerede Koncern

IT i september 2023 en IAM sektion, som har rekrutteret medarbejdere med kom-

petencer inden for den valgte IAM standardløsning. Projektledelsen er blevet styr-

ket, styregruppen genbemandet og der er etableret et forretningsboard med delta-

gelse af brugerrepræsentanter fra Koncern HR, Politiområder og politikredse, der

Økonomistyrelsen · Landgreven 4 · Postboks 2193 · 1013 København K · 3392 8000 · www.oes.dk

Aktstk. 197 - 2023-24 - Bilag 1: It-rådets opfølgning på projektet IAM

Side 2 af 4

understøtter projektet i forhold til forretningsmæssige afklaringer, implemente-

ringsstrategi m.v.

På baggrund af analyser af det hidtidige projektarbejde har Rigspolitiet udarbejdet

et forslag til replanlægning af projektet og udarbejdet en opdateret plan. Rigspolitiet

ønsker samlet set at udvide projektets tidsplan med i alt 3 år og 3 måneder, således

at projektet afsluttes 31. december 2025 i stedet for 1. oktober 2022.

De forventede projektudgifter øges med 30,8 mio. kr. fra 46,6 mio. kr. til i alt 77,4

mio. kr.(PL-2024). Heraf udgør budgettet for 2024 og 2025 34,2 mio. kr. hvilket er

inkl. 5 mio. kr. i risikopulje. Bruttogevinsterne forringes med 20,4 mio. kr. fra -6,7

mio. kr. til -27,1 mio. kr.

Replanlægningen medfører samtidig en tilpasning af projektets scope og implemen-

teringsstrategi. I projektets oprindelige scope indgik migrering af adgangsstyringen

for alle politiets systemer og en nedlukning af den nuværende løsning. Implemen-

teringsstrategien ændres fra ’big bang’ til en trinvis ibrugtagning, hvor der inden for

projektet migreres syv systemer af forskellig kompleksitetsniveau. De resterende ca.

180 systemer skal efterfølgende migreres, som en del af IAM sektionens løbende

adgangsstyringsopgaver, og det er med forventningen om, at migreringen kan gen-

nemføres inden udgangen af 2026.

På nuværende tidspunkt er status for projektet, at der er etableret en teknisk funge-

rende installation af den nye løsning. De udestående leverancer er derfor primært

resterende konfigurering, test, ibrugtagning og uddannelse i løsning samt migrering

af de første applikationer. Det synes kendetegnende for projektets hidtidige forløb,

at projektet i høj grad er blevet håndteret som et teknisk projekt, mens de forret-

ningsmæssige aspekter ikke er blevet prioriteret i tilstrækkelig grad. It-rådet obser-

verer, at der nu med etableringen af en permanent organisation og en generel op-

prioritering af sikkerhedsområdet er skabt et bedre fundament for at færdiggøre

IAM-projektet. Det understreges dog samtidig, at en gennemført migrering af de

resterende systemer samtidig er en indbygget forudsætning for at indfri projektets

formål og opnå gevinsterne af investeringen.

På baggrund af drøftelserne på mødet den 12. marts 2024 har It-rådet følgende nye

anbefalinger til projektet:

1. It-rådet anbefaler at Rigspolitiet klarlægger og styrker governance for den

organisatoriske implementering og for den løbende drift af adgangsstyring.

Målet med IAM-projektet og med etableringen af IAM-sektionen i Koncern IT er

med standardisering at øge modenheden af adgangsstyring i politiets organisation

og dermed opnå et højere sikkerhedsniveau. It-rådet anerkender, at der med etab-

leringen af det ovenfornævnte forretningsboard, og repræsentation af kredsene i

styregruppen, er kommet større fokus i projektet på den forretningsmæssige ibrug-

tagning og anvendelse af løsningen. Samtidig observerer It-rådet imidlertid, at det

ikke er tydeligt, hvem der har ansvaret for den samlede forankring af løsningen og

den løbende rolle- og ansvarsfordeling mellem it, system- og forretningsmæssigt

ansvarlige, hvilket kan udgøre en væsentlig risiko for den samlede migrering af alle

politiets systemer til IAM-løsningen. It-rådet anbefaler derfor, at Rigspolitiet i hø-

Økonomistyrelsen · Landgreven 4 · Postboks 2193 · 1013 København K · 3392 8000 · www.oes.dk

Aktstk. 197 - 2023-24 - Bilag 1: It-rådets opfølgning på projektet IAM

Side 3 af 4

jere grad klarlægger governance for området, herunder ejerskabet til de forretnings-

mæssige processer og beskriver en løbende metodik for samarbejdet mellem it og

linjeorganisationen. Herudover bør en tæt tværgående styring fortsættes i hele mi-

greringsperioden i 2026.

2. It-rådet anbefaler, at Rigspolitiet konsoliderer projektets gevinstbeskrivel-

ser samt konkretiserer og prioriterer de styrende gevinster for IAM-løsnin-

gen.

I forbindelse med arbejdet om den opdaterede plan har IAM-projektet genbesøgt

projektets gevinstbillede og har i det nuværende materiale beskrevet en længere

række af både økonomiske effekter og ikke-økonomiske gevinster. For at udgøre

et effektivt styringsparameter undervejs i projektet, er det It-rådets erfaring, at ge-

vinster bør konkretiseres til en til fire styrende gevinster, som er operationelle og

indbyrdes prioriterede, og det skal være muligt at måle, om gevinsterne realiseres.

It-rådet anbefaler derfor, at projektets gevinstbeskrivelser konkretiseres og priori-

teres, samt at det tydeliggøres, hvordan det konstateres om gevinsterne opnås. Rigs-

politiet kan her med fordel tage udgangspunkt i den nedbrydning af formålet for

projektet inden for emnerne informationssikkerhed, automatisering og udfasning

af forældet teknologi, som er beskrevet i det fremsendte business case grundlag.

3. It-rådet anbefaler, at IAM styrker økonomi- og fremdriftsstyringen i pro-

jektet ved at tydeliggøre estimaterne for de enkelte leverancer og inkluderer

den deraf afledte økonomi for leverancerne i planen.

I materialet til opfølgningsmødet har IAM-projektet præsenteret en plan for en

række projektleverancer, som projektet planlægger at levere gennem seks project

increments (PI’s). Den økonomiske nedbrydning af projektaktiviteterne i projektets

business case følger ikke samme opsætning. It-rådet vurderer, at dette kan medføre

en risiko for, at projektet får vanskeligt ved at følge op på fremdriften på leveran-

ceniveau, og dermed vanskeligt at reagere rettidigt, hvis nogle leverancer viser sig

mere komplekse og bliver mere tidskrævende og dyrere end forventet. It-rådet an-

befaler derfor, at IAM styrker økonomi- og fremdriftsstyringen i projektet ved at

tydeliggøre estimaterne og lave fremdriftsopfølgning for de enkelte leverancer med

henblik på at overvåge sammenhæng mellem restscope og budgetter.

It-rådet ser frem til at følge projektets videre forløb. Ovenstående anbefalinger vil

indgå ved næstkommende halvårlige statusrapportering til Statens It-råd, og It-rådet

forventer, at Rigspolitiet her forholder sig til, hvordan projektet har arbejdet videre

med de behandlede emner. It-rådet ønsker i den forbindelse, at Rigspolitiet inden

næste statusrapportering fremsender et konsolideret gevinstbillede, jf. anbefaling to.

Ved spørgsmål kan I kontakte undertegnede eller Rebecca Søegaard,

[email protected] eller mobil 2046 5734. Dette brev er også sendt til Rigspolitichef

Thorkild Fogde, It-direktør Stig Lundbech og til afdelingschef Jacob Nielsen i

Justitsministeriet.

Økonomistyrelsen · Landgreven 4 · Postboks 2193 · 1013 København K · 3392 8000 · www.oes.dk

Aktstk. 197 - 2023-24 - Bilag 1: It-rådets opfølgning på projektet IAM

Side 4 af 4

Med venlig hilsen

Betina Hagerup

Formand for It-rådet

Økonomistyrelsen · Landgreven 4 · Postboks 2193 · 1013 København K · 3392 8000 · www.oes.dk