KUNDCASE

Collectum

Collectum administrerar och handlar upp tjänstepension. Det handlar om 22 miljarder kronor i premier per år som förmedlas från 30000 företag till ett tjugotal försäkringsbolag. Collectum ägs av Svenskt Näringsliv och PTK. LO-sidans motsvarighet heter Fora. De är de två stora administratörerna i Sverige.

Lennart Johansson är tillträdande IT-chef på Collectum. Med bakgrund som revisor och expert på sourcing så är han sällsynt väl lämpad att hantera de risker som föreligger i en verksamhet med en viktig position i en känslig kedja av premier, placeringar och utbetalningar. Även om inte Collectum hanterar placeringar eller pensionsutbetalningar; som försäkringsbolagen, så måste Collectum ha lika rigorösa krav på IT-säkerhet, IT-rutiner, drift och hantering. Det vore förfärligt om vi vore den svagaste länken, säger Lennart. Collectum har anlitat SunGard för en LIS som grund för fortsatt informationssäkerhetsarbete. LIS är som alla trogna läsare av BNS vet, ett Ledningssystem för informationssäkerhet.

Collectum är kanske inte allmänt känt. Vad gör ni egentligen?

Vi administrerar och handlar upp kollektivavtalad tjänstepension. Under 2007 avslutades den största upphandlingen nånsin. Fem stycken för traditionell pensionsförsäkring och fem stycken fondförsäkringsbolag. De som omfattas av ITP kan göra val inom den ramen.

Vad är det ni har gjort tillsammans med SunGard?

Vi har byggt ett ledningssystem för informationssäkerhet enligt gällande ramverk. Gunnar Stein har varit handledare och mentor och har stått för bakgrundskunskap och hjälpt oss i olika workshops under fem, sex gånger och jobbat igenom hela ramverket.

Varför gjorde ni detta?

Stabiliteten, säkerheten och precisionen i allt som har med IT att göra har alltid varit viktigt och blir allt viktigare. Speciellt i en sån här verksamhet där det flödar 22 miljarder genom systemet varje år. Blir det fel på den tredje decimalen så blir det ohyggligt mycket pengar.

Precisionen i IT-systemen är oerhört viktiga för att vi ska kunna leverera våra tjänster med kvalitet. Säkerheten för företag som betalar in pengar och personuppgiftsdelen är också viktig. Det är en hel palett av orsaker.

Hur många personer är försäkrade egentligen?

Det handlar om ca 700 000 aktiva som arbetsgivarna betalar in premier för. Så det är ganska stora flöden de handlar om. Stora flöden i en verksamhet som inte är så jättepublik. 1,4 miljoner omfattas inkl pensionärer.

Hur tjänar ni pengar?

Våra intäkter utgörs av 1,3 procent för premiebestämd försäkring.

Hur sårbar är er verksamhet?

Inte särskilt sårbar egentligen. De administrativa tjänsterna är ju bestämda av kollektivsavtalspartnerna. Om vår valplattform går ner ett kort tag så innebär det att de val som inte blir gjorda just då får göras när systemet fungerar igen. Det blir inga transaktionsförluster men om det händer ofta så är det klart att vår trovärdighet undermineras och det är inte bra när man kallar sig en knutpunkt. Då blir det ju stopp åt båda håll.

I kedjan finns det försäkringsbolag, Collectum och arbetsgivarna inom ITP. Som ickefinansiellt företag måste vi se till att inte vara den svagaste länken utan upprätthålla samma nivå som försäkringsbolagen. Det vore högst otillfredsställande om vi hade trojaner som vi skickade vidare till försäkringsbolagen till exempel.

Hur började samarbetet med SunGard?

Vi gjorde en analys vad vi behöver. Sedan kom Gunnar Stein och Tomas Alnesjö hit och berättade om sitt upplägg, vilket vi tyckte lät bra. Hela processen har tagit ungefär ett halvår. Det går att göra snabbare så klart men det handlar om att få rätt personer och profiler med i de olika workshopparna.

Summera lärdomar och insikter från LIS-processen.

Det som vi har gjort på ett halvår är torrsimmet. Vi har skapat det skrivna ramverket. Den allra tydligaste insikten är vilken ansträngning och seriositet vi har att anlägga på implementeringen. Ramverket är viktigt också men det egentliga arbetet börjar efteråt. Har vi gap mellan verklighet och ramverket? Hur sluter vi gapen? Då blir det mankraft, förändringar och tekniskt arbete. Den största insikten är att pappersmaterialet är jätteviktigt men nu måste vi också se till att vi fortsätter det goda arbetet med implementeringen.

Vad är nästa steg?

Utifrån ramverket låter vi bit för bit glida in i respektive verksamhet. Vi definierar småprojekt och det gör vi nu. Det blir ingen big bang så att säga.

Många small bangs istället?

Är något viktigare än något annat? Svår fråga. Jag skulle vilja utgå från organisationen. Det viktigaste är att kommunicera, kommunicera, kommunicera så att vi får förståelse, förståelse, förståelse för det förhållningssätt vi har.

Sen om skalskydd går före virusskydd eller brandväggar eller inte så kommer det att justeras och bli klart över tiden. Det handlar om att hela informationssäkerhetsarbetet skall vara i balans. Häftiga tekniska produkter säkrar en aspekt av verksamheten med pansar och betong men sen har vi ett halvruttet spjälstaket i ett annat. Vi måste se till helheten, till processen så att den hänger ihop och inte brister någonstans.

Hur levande är LIS-dokumentet?

Det är oerhört levande. Jag är en gammal revisor och mitt förhållningssätt är att risker är dynamiska. Riskhanteringen måste vara minst lika dynamisk. Ett inplastat exemplar är inte särskilt dynamiskt. Det borde vara ett lösbladssystem där ett blad ständigt befinner sig i luften. Attacker är inte längre ett uttryck för att man vill skada oss för det vi gör, utan resultatet av att robotar har identifierat oss som sårbara. Utan att bry sig om vad vi gör!

Det är helt nya förhållningssätt. Angripare vet inte ens vilka vi är. Vi är collateral damage. Det är viktigt att vi är medvetna om vad som pågår.

Hur ser du på risker och riskhantering i allmänhet?

Riskhantering är ett väsentligt element i allt ledarskap. Man behöver inte bli paranoid men man ska behandla det i vardagen som alla andra ledarskapsfrågor. Min filosofi utgår från att det är väldigt få risker som man ens ska ha ambitionen att helt ta bort, men däremot ska alla risker som kan betyda någonting kunna hanteras.

Bygger man bort varenda risk har man förändrat normaliteten så mycket att det man försöker skydda blir förstört ändå för att det inte kan verka som det ska.

Vilken är största risken Collectum lever med?

Operationella, transaktionella risker är de som skulle få störst betydelse om de realiseras. Vi administrerar personers tjänstepensionsval från det att de är 25 till 65. Precision och process är jätteviktig. Det handlar om att det ska bli rätt. Individer ska ha det som tillkommer dem. Det får inte bli fel när det gäller efterlevandeskydd till exempel. Vi sköter inte utbetalningarna men det är viktigt att just den här personens premie verkligen kommer på rätt ställe. Collectum har en hög precision och vi jobbar dagligen och stundligen för att bli ännu bättre. Slutligen, vad var det mest positiva med LIS-processen med SunGard?

Det var mycket positivt att jobba med SunGard. En viktig del för oss var att få handledning av en person som inte bara kan teorierna utan varit drivande i deras tillämpning i skarpa lägen. Vi fick många matnyttiga inspel som hjälpte oss besluta vad som är rimligt för oss.

Gunnar Stein har erfarenheten och kunskapen som vi behöver och det har varit riktigt, riktigt bra, avslutar Lennart.

Kontakta oss: