10.2.2006
Stakesin lausunto valtionhallinnon it-strategiasta
Yleistä
Vuonna 2004 käynnistynyt prosessi valtion tietohallinnon johtamistavan muuttamisesta konsernimaisempaan ajattelutapaan on konkretisoitunut valtionhallinnon it-strategiaksi ja viideksi kehittämisohjelmaksi. Strategiassa esitetyt kehittämisohjelmat ovat mielestämme tähän hetkeen ja lähitulevaisuuteen sopivia ja oikeansuuntaisia. Tässä yhteydessä olisi kuitenkin syytä alkaa hahmotella ensi vuosikymmenen puolella tulevaa seuraavaa aaltoa. Vaihtoehtoisesti em. viiden osa-alueen osalta voitaisiin alkaa pohtia, miten niitä tullaan seuraavassa vaiheessa edelleen kehittämään.
Valittujen osa-alueiden suurin haaste on niiden aiheuttama lisätyömäärä, joka koskee koko it-strategiaprosessia. Sen mukaan nykyiset työtehtävät tulee hoitaa kuten aikaisemmin ja samalla varautua kehittämään organisaation tietohallintoa, infrastruktuuria ja tietoturvallisuutta uuden tietohallintostrategian osoittamaan suuntaan. Tähän tulisi yhdistää tuottavuusohjelman mukaiset henkilöstömäärään supistamiseen liittyvät odotukset, mikä aiheuttaisi henkilöstöresursointiin ongelmia. Harkinnan arvoista voisi olla tuottavuusohjelman osalta it-henkilöstön rajaamista siitä pois vuoteen 2011 eli strategiaprosessin 1. vaiheen toimeenpanovaiheen loppuun saakka.
Mikäli tässä strategiassa esitetyt ohjelmat saadaan toteutettua edes valtaosaltaan strategiassa kuvatulla tavalla, saadaan Suomen valtionhallinnon käytettävissä olevat kattavat perustietojärjestelmät ja -palvelut varmistettua sille tasolle, jolla niiden tulee vastedeskin olla. Ohjelman toteuttaminen menestyksekkäästi on perusedellytys sille, että valtionhallinto voi ylipäätään tarjota kansalaisten odottamia ja edellyttämiä sähköisiä palveluita 2010-luvulla. Tämä puolestaan edellyttää sitä, että ohjelman toteuttamisessa on riittävät henkilöstöresurssit siitäkin huolimatta, että nykyinen it-henkilöstö ikääntyy ja uuden työvoiman hankinnan on ennustettu vaikeutuvan.
Tarkemmat huomiot
Luku 7.1 Tyytyväiset asiakkaat, joustavat palvelut
Luku 7.1 sisältää eniten asiakkaisiin eli loppukäyttäjiin ja yrityksiin vaikuttavia merkittäviä seikkoja. Jotta loppukäyttäjille näkyvä palvelutarjonta olisi mahdollisimman helppokäyttöinen ja yhdenmukainen, edellyttää se hyvissä ajoin yhteisten arkkitehtuurien käyttöönottoa. Harkinnan arvoista on, että loppukäyttäjille ja yrityksille avoimet yhteiset julkiset palvelut tarjotaan tätä tarkoitusta varten perustettujen keskitettyjen it-palvelukeskusten kautta, jotka voivat tarjota toiminnan edellyttämän käytettävyyden ja tietoturvallisuuden.
”Kansalaisella ja yrityksellä on mahdollisuus seurata omien vireillä olevien asioidensa käsittelyn tilaa ja tarkastaa, mitä tietoja viranomaisilla on hänestä hallussaan”
Jotta tämä lupaus voidaan toteuttaa kattavasti, pitää saada käyttöön yhteinen asianhallintajärjestelmä; pelkkä dokumentinhallintajärjestelmä ei tällaisen toiminnallisuuden toteuttamiseksi riitä. Tässä yhteydessä tulisi linjata myös se, kuinka pitkältä ajalta tarkasteltavat tiedot tulisi saada, kuinka pitkäksi ajaksi tiedot tulee arkistoida (vrt. normaalien arkistonmuodostussuunnitelmien mukaiset aikasuositukset) ja kuinka ne arkistoidaan keskitetysti. Synergiaetuja löytyisi esim. yhteistyöstä perustettavan valtakunnallisen sähköisen asiakastietojen hallinta- ja arkistointijärjestelmän kanssa käytettävien pelkästään jo arkkitehtuureiden osalta.
”Kansalaisella on mahdollisuus tarkistaa, mihin tarkoituksiin hänen tietojaan on käytetty.”
Edellä oleva kohta edellyttää merkittävää panostusta tietojärjestelmien identiteetinhallinta- ja käytönvalvontajärjestelmiin.
Jotta tiedon löytyminen olisi vaivatonta, tulisi harkita valtionhallintoon keskitetyn hakupalvelun käyttöönottoa. Koska valtaosalle käyttäjistä on esimerkiksi Google-hakukone erittäin tuttu, kannattaisi harkita sen lisensoimista ja mukauttamista loppukäyttäjän hakumahdollisuudeksi. Toinen keino on kehittää ja tuottaa em. tyyppinen hakujärjestelmä, joskin vastaavanlaisia on jo markkinoilla.
Loppukäyttäjäkokemuksen kannalta suotavaa olisi mahdollisimman yhtenäinen käyttöliittymä tarjolla oleviin palveluihin. Tällaisen ratkaisun hankaluutena on asiakkaan näkökulmasta se, miten hän erottaa tiedon tuottajat toisistaan. Mikäli kaikilla tiedon tuottajilla (virastoilla) on samanlainen käyttöliittymä ja ulkoasu, saattaa se loppukäyttäjän kannalta muodostua puuduttavaksi kokemukseksi. Eräs keino olisi toteuttaa jokaiselle hallinnonalalle ulkoasultaan erilainen tyylipohja, jolloin loppukäyttäjä huomaisi palveluita käyttäessään, minkä hallinnonalueen viraston tai toimijan tietoja hän parhaillaan tarkastelee.
Luku 7.2 Tehokas, verkottunut hallinto
Edellä olevat kommentit koskevat myös luvussa 7.2 esitettyjä seikkoja. Näiden ohella kiinnitimme huomiota seuraaviin seikkoihin:
”Hallinnon sisäinen tietojen hinnoittelu on selkiytetty.”
Nykyinen tilanne, jossa hallinnon sisällä on erilaisia hinnoitteluperiaatteita hyödynnettävissä oleville tiedoille, pitäisi selkiyttää mahdollisimman nopeasti yhtenäistämällä hinnoittelu. Hinnoitteluongelmasta päästään, mikäli tietojärjestelmät voidaan ulkoistaa keskitettyihin palvelukeskuksiin. Tässä voidaan säästää viraston oman tietotekniikkainfrastruktuurin ylläpitokustannusten osalta.
”Perustietovarantojen ylläpito ja hallinnointi on toteutettu nykyisen mallin mukaisesti hajautettuna, ja niiden käyttöä ja kehittämistä koordinoidaan keskitetysti.”
Tässä kohdassa tulisi tarkkaan miettiä ja rajata, mitä tässä yhteydessä tarkoitetaan perustietovarastoilla. Lisäksi nyt kannattaisi pohtia varastoinnin kattavaa ulkoistamista yhteisiin palvelukeskuksiin ennakoiden sitä hetkeä, kun nykyiset varastoinnista vastaavat tietojärjestelmät vanhentuvat.
”Yhtenäiset perustietotekniikkapalvelut”
Erääksi perustietotekniikkapalveluksi on laskettu turvallinen sähköposti. Yksi tavoite voisi olla se, että kaikilla käyttäjillä on yhteinen turvallinen sähköposti- ja kalenterijärjestelmä, joka on käytettävissä erilaisilla etätyö- ja etäkäyttöjärjestelmillä. Tämä mahdollistaisi sen, että koko ajan yhä enemmän resursseja vaativaan sähköpostiliikenteeseen liittyvä roskapostien ja haittaohjelmien torjunta voitaisiin keskittää. Ratkaisu takaisi myös suoraan korkeamman käytettävyyden ja helpottaisi turvasähköpostin käyttöönottoa.
” IT-palvelutuottajia kilpailutetaan säännöllisin välein kustannustehokkaiden ratkaisujen löytämiseksi ja ylläpitämiseksi. Hankintaosaamista on kehitetty niin, että ostettavat palvelut ovat kustannustehokkaita, toimintavarmoja ja turvallisia.”
sekä myöhemmin
” Tietojärjestelmä ja palveluhankinnat toteutetaan niin, että lukkiutuminen yhden toimittajan palvelujen käyttöön vältetään.”
Palveluiden ostamisessa kaupallisilta markkinoilta törmätään hankintalainsäädännön osalta siihen ongelmaan, että kilpailuttamisen kautta laadittava hanke- tai puitesopimus voi olla voimassa tyypillisesti enintään neljä vuotta, jonka jälkeen kyseinen palvelu pitää kilpailuttaa uudelleen. Tällöin palveluntarjoajan tulee saada riittävä tuotto rakentamalleen palvelulle, koska mikään ei takaa sitä, että se toimii myös jatkossa palveluntarjoajana seuraavan kilpailutuksen jälkeen. Tämän takia tulisi miettiä, onko tiettyjä palveluita syytä rakentaa valtionhallinnon omaan palvelukeskukseen, jolloin jatkuvilta kilpailuttamisilta vältyttäisiin.
7.3 Toimintaperiaatteet
”Hallinnonalojen IT-toiminnan koordinointiryhmät
Jokaisessa ministeriössä tulee olla hallinnonalan IT-toiminnan johtamisesta ja koordinoinnista vastaava henkilö, joka toimii hallinnonalan IT-toimintojen ohjausryhmän puheenjohtajana.”
Koska useimmat strategiassa esitettävät kohdat aiheuttavat käytännössä merkittävää lisätyötä jo olemassa olevien, kuormittavien työtehtävien päälle, piilee tässä eräs keskeinen, huomioonotettava riski. Stakes ehdottaa tässä yhteydessä sitä, että projektien etenemisen takaamiseksi hankitaan hallinnonalojen it-toiminnan koordinointiryhmän yhteyteen päätoiminen erillinen konsultti / hallinnonalalta irrotettu asiantuntija, joka vastaa projektien etenemisestä koordinointiryhmälle.
”Valtion IT-palvelut -yksikkö koostuu asiantuntijoista, joilla on ostamisen ja kehittämisen laaja-alaista osaamista. Palveluyksikkö kehittää jatkuvasti perustietotekniikkapalveluita, jotka hankitaan pääsääntöisesti kilpailluilta markkinoilta.”
Edellä otettiin jo kantaa tähän palveluiden hankkimiseen pelkästään kilpailuttamalla.
Kommentit toimenpideohjelman eri kohtiin:
1. Asiakaslähtöiset sähköiset palvelut kehittämisohjelma
Tällä osa-alueella etenkin yritysten sähköisen tunnistamisen mahdollistavat palvelut ovat perusta, joka mahdollistaa tämän osa-alueen palveluiden rakentamisen.
2. Yhteentoimivuus (tietohallinnon arkkitehtuurit ja menetelmät) kehittämisohjelma
Tässä yhteydessä erityisesti korostuu arkkitehtuurien yhdenmukaistaminen. Koska tietojärjestelmien elinkaari saattaa olla jopa 10 vuotta tai pidempi, tulisi jokaisen organisaation tehdä tietojärjestelmäkohtainen tilannearvio siitä, millä aikataululla ja miten siirtyminen yhdenmukaisempaan arkkitehtuuriin tulisi tapahtua. Tässä kohdassa saattaisi olla suositeltavaa vanhimpien ja usein eniten ylläpitokustannuksia aiheuttavien tietojärjestelmien kustannusten jakamisesta, mikäli tietojärjestelmä vaihdetaan nykyaikaisempaan ennakoitua aikaisemmin (ns. ”tietojärjestelmän tapporaha”).
Sekä tässä että muutamassa aiemmassa kohdassa painotetaan hankintojen ja kilpailutuksen merkitystä. Jatkossa kilpailuttamisen tarpeen tulisi olla nykyistä merkittävästi pienempi, kun Hansel saa kilpailutettua ja laadittua puite/hankintasopimukset it-alueelle hyvin kattavasti. Jatkossa kilpailuttamisen tarve tulisi esille lähinnä uusia ydintietojärjestelmiä hankittaessa. Tässäkin suositeltavaa olisi hankintayhteistyö hallinnonalan / valtion it-palveluiden kanssa.
3. Yhteiset tietojärjestelmät kehittämisohjelma
Kohdassa dokumentinhallinta todetaan seuraavaa:
”Kilpailutuksen kautta valtiolle hankitaan yhteinen dokumentinhallintatuote tai palvelu. Sen varaan voidaan rakentaa organisaation perustoimintaa tukevia asianhallintajärjestelmiä tai sitä voidaan käyttää sellaisenaan.”
Aikaisemmin tuotiin esille loppukäyttäjien mahdollisuus siihen, että ” ”Kansalaisella on mahdollisuus tarkistaa, mihin tarkoituksiin hänen tietojaan on käytetty.” Keskitetty dokumentinhallinta on esimerkki tietojärjestelmästä, jossa myös tällainen ominaisuus pitäisi huomioida. Mikäli organisaatioille jää omia dokumentinhallintajärjestelmiä, saattaa se edellyttää kalliiden sovitinohjelmistojen rakentamista vanhojen ja nyt toteutettavan uuden keskitetyn ratkaisun väliin, mikä ei ole kustannustehokasta. Tässä, kuten muissa vastaavanlaisissa yhteisissä palveluissa, tulisi vakavasti miettiä sitä, että jokaisen organisaation odotetaan siirtyvän uuden keskitetyn tietojärjestelmän käyttäjäksi viimeistään siinä vaiheessa, kun olemassa oleva omana hankintana toteutettu ratkaisu on uusimisvaiheessa.
Mikäli strategiassa linjatut keskeiset toiminnot halutaan toteuttaa aikaansaaden kustannussäästöjä sekä ottaa huomioon tällaisen laajamittaisen uudistustyön edellyttämät merkittävät henkilöstöresurssit usealle vuodelle, pitäisi yhteisten tietojärjestelmien osalta päästä 100 % toteutumisasteeseen tavoiteaikataulun puitteissa.
4. Yhtenäiset perustietotekniikkapalvelut kehittämisohjelma
Kohdassa ”Yhteiset tietoliikenne-, etäkäyttö ja puhepalveluratkaisut” todetaan, että ”Tähtäimeksi asetetaan valtionhallinnon yhteinen turvallinen tietoverkko, jota käytetään myös puhelujen välitykseen. Verkko kattaa toimipisteiden väliset yhteydet sekä etäyhteydet toimipaikan ulkopuolella tapahtuvaan työskentelyyn.”
Edellä kuvattu tavoitetila on erinomainen, mutta se voisi sopia paremmin kohtaan ’tietoturvallisuuden kehittämisohjelma’.
Ratkaisu mahdollistaisi sen, että jatkossa organisaation kaikki keskeiset tietoliikenneyhteydet kulkisivat keskitetyn solmun kautta, joka olisi käytettävyydeltään ja tietoturvaratkaisultaan huomattavasti korkeampaa tasoa, mitä yksittäinen organisaatio voi taata. Samoin järjestelyllä saavutetaan samanlaisia etuja kuin keskitetyllä sähköposti- ja kalenteriratkaisulla niin hallinnan kuin tietoturvallisuuden suhteen.
Kohtaan ”Työasemien vakiointi, hankinta, ylläpito ja help desk” voisi harkita lisättäväksi myös matkapuhelimet/pda-laitteet, koska jatkossa niiden käyttö yleistyy entisestään ja ne vaativat tällöin vastaavanlaiset hankinta-, ylläpito- ja helpdesk-palvelut kuin kannettavat tietokoneet.
5. Tietoturvallisuuden kehittämisohjelma
Toimenpideohjelmassa esitetyt hankkeet ovat ajankohtaisia ja luonnollisia jatkoja voimassa oleville Vahti-ohjeistuksille. Kuten tässä kohdassa todetaan, on erityisen tärkeää huolehtia tietoturvallisuudesta muiden kärkihankkeiden osalta ja taata niissä projekteissa tarvittava tietoturvaosaaminen.
Riskianalyysi
Tässä kohdassa erityisesti seuraavat kolme kohtaa nousevat muiden edelle:
- Liian monia hankkeita, liian nopealla aikataululla, liian vähän resursseja.
o viidessä vuodessa toteutettavaksi suunniteltuja tehtäviä on todella paljon niin pienelle kuin suurellekin organisaatiolle, etenkin kun nykyisten tehtävien hoitaminen vie jo olemassa olevat henkilöresurssit
- Ohjelmien, hankkeiden ja projektien välisten riippuvuuksien selvitys on riittämätöntä.
o toimintasuunnitelmaa pitäisi tarkastella entistä enemmän viiden erillisen hankkeen sijaan yhtenäisempänä kokonaisuutena sekä selvittää niiden priorisointi ja vaikutukset kokonaisaikatauluun
- Osapuolet (kehitysohjelmien omistajat, palvelujen kehittäjätahot) eivät ole sitoutuneet strategiaan, omien vastuuosuuksiensa tekemiseen, maksuvelvoitteisiin ja tulosten hyväksikäyttöön.
o mikäli edellä olevat kaksi keskeistä riskiä saadaan vältettyä, useissa kohdissa on välttämätöntä, että tuotettava yhteinen palvelu otetaan kaiken kattavasti valtionhallinnossa käyttöön. Mikäli osa organisaatioista jää sovittujen ratkaisuiden ulkopuolelle, saattaa se hankaloittaa ja hidastuttaa merkittävästi kokonaisuuden edistymistä
Aikataulutus
Vuonna 2004 esitetyt ensimmäiset aikataulut olivat erittäin kunnianhimoisia. Nyt kun tavoitetilaa on saatu konkretisoitua näiden viiden ohjelman osalta, voidaan aikataulutusta pitää edelleen kunnianhimoisena, muttei suinkaan mahdottomana kaikkien ohjelmakohtien osalta. Jotta yksittäisten osioiden etenemisen hidastuminen vaikuttaisi mahdollisimman vähän kokonaistulokseen, edellyttää tämä kokonaisuudesta vastaavien projektinjohtajien ja johtoryhmä-tasolla toimivien henkilöiden osalta poikkeuksellisen laaja-alaista projektinhallintaa ja seurantaa sekä kykyä puuttua mahdollisiin ongelmatilanteisiin välittömästi.
Helsingissä, 10.2.2006
Vappu Taipale
Pääjohtaja
Kimmo Rousku
Tietohallinto- ja tietoturvapäällikkö