IKT-Schlüsselprojektprüfungen der EFK und HERMES. Martin Schwaar Prüfungsexperte für IKT-Schlüsselprojekte des Bundes

Transkript

1 IKT-Schlüsselprojektprüfungen der EFK und HERMES Martin Schwaar Prüfungsexperte für IKT-Schlüsselprojekte des Bundes HERMES-Forum vom 1. September 2016

2 Agenda Was sind IKT-Schlüsselprojektprüfungen des Bundes? Kurzer Überblick zum Prüf-Vorgehen Wie verhält sich das IKT-SPP Prüf-Vorgehen zu HERMES? Was erwartet die EFK in Bezug auf ausgewählte Aspekte von HERMES? 2

3 Ausgangslage Nach Problemen in IT-Grossprojekten (Auslöser INSIEME) wurden die IKT- Schlüsselprojekte mit Weisung des Bundesrates vom und einem verstärkten Kontroll- und Prüfprozess unterstellt IKT-Schlüsselprojekte definieren sich über die Grösse (i.d.r. ab 30 Mio.), Komplexität und strategische Wichtigkeit Die EFK wurde mit der Prüfung der IKT-Schlüsselprojekte betraut Die Verantwortung und Kontrollaufgabe liegt weiterhin bei der Linie und Projektsteuerung Der BR legt jedes Jahr im April/Mai die IKT-Schlüsselprojekte fest Heute sind 14 Projekte als IKT-Schlüsselprojekte definiert, 8 weitere sind bereits wieder von der Liste gestrichen worden 3

4 Das Prüf-Team und das Prüfvorgehen Die IKT-Schlüsselprojekte werden durch Projektmanagement-Experten geprüft, welche langjährige Erfahrung in der Leitung und Steuerung von Projekten haben Die EFK hat ein eigenes Prüfvorgehen entwickelt, welches laufend angepasst und erweitert wird Bei der Entwicklung des Prüfvorgehens wurden aus HERMES die Anforderungen abgeleitet, welche grundsätzlich abgedeckt werden müssen. Die Prüfungen werden aber jeweils risikobasiert durchgeführt Der Prüfprozess wurde an den Standard-Prüfprozess der EFK adaptiert Es wird auf einer hohen «Flughöhe» geprüft und bei Bedarf vertieft Es wird unterschieden zwischen Initialprüfungen und Folgeprüfungen 4

5 Prüfprozess und Informations-Fluss (vereinfachte Darstellung) 5

6 Die Prüfungsdurchführung Grundsatz: Ziel der Prüfungen ist es, der Projektsteuerung und -Führung eine Aussensicht zu liefern und dadurch die Zielerreichung zu unterstützen Vorgehen: Die EFK führt Assessments und Interviews auf verschiedenen Stufen durch Die Erkenntnisse werden aufgrund von Dokumentationen, Demonstrationen und Vergleich der Aussagen gesichert Feststellungen werden mit den Geprüften besprochen, die Umsetzung von Empfehlungen regelmässig nachverfolgt Ergebnisse: Die EFK erstellt einen Bericht zu Handen der Amtsleitung (Adressat), des Parlaments und des Bundesrates. Der Bericht wird auf der EFK-Website veröffentlicht 6

7 Agenda Was sind IKT-Schlüsselprojektprüfungen des Bundes? Wie verhält sich das IKT-SPP Prüf-Vorgehen zu HERMES? Rolle von HERMES im Prüf-Vorgehen erläutern Was erwartet die EFK in Bezug auf ausgewählte Aspekte von HERMES? 7

8 HERMES-Vorgaben im EFK Prüf-Vorgehen Die HERMES-Vorgaben stellen die Anforderungen an ein Projekt dar, welche im Grundsatz durch die EFK geprüft werden Werden die Aufgaben wie vorgegeben durchgeführt? Werden die vorgegebenen Minimalergebnisse erstellt? Sind die Rollen richtig besetzt? Abgleich mit PBOK, Prüfstandards wie ISSAI 300 und Erweiterung um «weiche Faktoren» und Erfahrungswerte Aufbau der Methodik nach Modulen, innerhalb der Module nach Aufgaben 8

9 Agenda Was sind IKT-Schlüsselprojektprüfungen des Bundes? Wie verhält sich das IKT-SPP Prüf-Vorgehen zu HERMES? Was erwartet die EFK in Bezug auf ausgewählte Aspekte von HERMES? Bisherige Feststellungen und Fokus auf ein wichtiges Thema 9

10 Auswertung der Feststellungen in IKT-Schlüsselprojektprüfungen 14 Berichte zu 12 verschiedenen IKT-Schlüsselprojekten wurden ausgewertet, insgesamt 152 Feststellungen klassifiziert Die Empfehlungen können wie folgt kategorisiert werden: Schwächen in der Governance (Rollen, AKV, QS/RM etc.) Definition Projektinhalt (Business/IT Alignement, über Jahre gewachsene (IT-)Strukturen, ungenügende Vorabklärungen, fehlende Mittelfristplanung) IT-Lösung inkl. Implementierung (Planung und Umsetzung von IT-Systemspezifischen Belangen wie Anforderungen, Design/Build/Test, Betrieb etc.) Unzureichendes Projektmanagement (Projektstrukturen, -planung-, -controlling, Ressourcen etc.) Finanzierung und Wirtschaftlichkeit Übriges (Beschaffung, Vertragsmanagement, Change Management) 10

11 Konklusion über die Feststellungen 1. Governance weist oft Schwachstellen aus, insbesondere in Risk- Management und Qualitätssicherung 2. Steuerung auf Stufe Programm teilweise unvollständig 3. Projektcontrolling ist nicht immer adäquat ausgebaut 4. Externe Mitarbeiter bergen Risiken bezüglich Abhängigkeiten 5. Anwendung Projekt-Methodik gem. HERMES ist etabliert, vereinzelt Verstösse (auch im Beschaffungswesen) festgestellt 11

12 Der Qualitäts- und Risikomanager Oft ist die Rolle nicht oder nicht richtig besetzt Verantwortung und Kompetenzen gemäss HERMES: jede Tätigkeit beinhaltet das Wort Beurteilung und Empfehlung -> keine operative Tätigkeit Link auf die Rollenbeschreibung Gewichtige Bedeutung für den Projektverantwortlichen, sprich Auftraggeber Ist bei sämtlichen Steuerungs-Entscheiden involviert Eine seiner wichtigsten Aufgaben ist die Beurteilung von Risiken und Massnahmen im Projekt/Programm Er ist auch für die Erkennung von strategischen Risiken zuständig (nicht direkt durch HERMES erwähnt, setzen wir aber voraus) 12

13 Risikomanagement (Prozess-Sicht) Bei der Initialprüfung wird das Risikomanagement in der Regel eingehend durchleuchtet HERMES gibt vor DASS, aber nicht WIE es gemacht werden muss Die Prüfer beurteilen in einem ersten Schritt noch nicht die Risiken selbst, sondern den Prozess der Risikoerfassung und Bearbeitung Wo, durch wen und aufgrund welcher Vorgaben werden die Risiken auf der Ausführungsebene erfasst? Werden diese durch die Führungsstufe beurteilt und um Führungsrisiken ergänzt? Werden Massnahmen erarbeitet und die Verantwortung zugewiesen? Wird die Umsetzung der Massnahmen überwacht? Wie wird mit Anpassungen der Risikoziffer bei Ebenen-Übergängen umgegangen? Wie gelangen die Risiken auf die höchste Steuerungsstufe? Werden diese durch einen unabhängigen, direkt dem AG rapportierenden Qualitäts- und Risikomanager beurteilt? Fügt dieser strategische Risiken hinzu? Der Prozess wird durchlaufen und auf Verlässlichkeit beurteilt 13

14 Risikomanagement (einfacher Prozess) Steuerung Auftraggeber Führung Ausführung Projektleiter Fachspezialist Qualitäts- und Risikomanager Risiken managen Teilprojektleiter Risiken erkennen 14

15 Risikomanagement (komplexer Prozess) Steuerung AG Q- + R-Mgr 15

16 Fragen und Diskussion 16