Staden försäkrar sig: Stark ekonomi och klimatarbete.

[RSR 2026.pdf] REGELBUNDEN TILLSYNSRAPPORT S:T ERIK FÖRSÄKRING FASTSTÄLLD AV STYRELSEN 2026-03-27 SAMMANFATTNING ......................................................................................................................................... 4 A. VERKSAMHET OCH RESULTAT .......................................................................................................... 4 A.1 Verksamhet .................................................................................................................. 4 A.1.1 Företagets namn och juridiska form ..................................................................... 4 A.1.2 Antal anställda ...................................................................................................... 4 A.1.3 Ägare .................................................................................................................... 4 A.1.4 Grupp och anknutna företag ................................................................................. 5 A.1.5 Utvecklingstendenser ........................................................................................... 5 A.1.6 Verksamhet 2025 .................................................................................................. 6 A.2 Försäkringsresultat ....................................................................................................... 8 A.3 Investeringsresultat ...................................................................................................... 8 A.4 Resultat från övriga verksamheter ............................................................................... 9 A.5 Övrig information ........................................................................................................ 9 B. FÖRETAGSSTYRNINGSSYSTEM ........................................................................................................ 10 B.1 Allmän information om företagsstyrningssystemet ................................................... 10 B.1.1 Struktur ............................................................................................................... 10 B.1.2 Ansvar ................................................................................................................ 10 B.1.3 Materiella ändringar under perioden .................................................................. 12 B.1.4 Styrdokument för ersättning ............................................................................... 12 B.2 Lämplighetskrav ........................................................................................................ 12 B.2.1 Lista över centralt ansvariga .............................................................................. 12 B.2.2 Styrdokument för lämplighetsprövning ............................................................. 13 B.2.3 Process för lämplighetsprövning ........................................................................ 13 B.3 Riskhanteringssystem inklusive egen risk- och solvensbedömning .......................... 14 B.3.1 Riskhanteringssystemets uppbyggnad ................................................................ 14 B.3.2 Egen risk- och solvensbedömning ...................................................................... 15 B.3.3 Styrande dokument ............................................................................................. 16 B.3.4 Materiella risker och solvensbehov .................................................................... 17 B.3.5 Aktsamma investeringar ..................................................................................... 17 B.3.6 Kreditvärderingar ............................................................................................... 17 B.3.7 Extrapolering av den fria räntesatsen, matchningsjustering och volatilitetsjustering ........................................................................................................... 18 B.4 Internkontrollsystem .................................................................................................. 18 B.4.1 Struktur ............................................................................................................... 18 B.4.2 Ansvar ................................................................................................................ 19 B.4.3 Dualitet ............................................................................................................... 19 B.4.4 Uppföljning ........................................................................................................ 19 B.4.5 Systeminformation ............................................................................................. 19 B.4.6 Rapportering ....................................................................................................... 19 B.4.7 Regelefterlevnadsfunktionens aktiviteter under rapporteringsperioden............. 20 B.4.8 Styrdokument för regelefterlevnad ..................................................................... 20 B.5 Internrevisionsfunktion .............................................................................................. 21 B.5.1 Utförda granskningar .......................................................................................... 21 B.5.2 Iakttagelser, rekommendationer och åtgärder .................................................... 21 B.5.3 Styrdokument för internrevisionen ..................................................................... 21 B.5.4 Revisionsplan ..................................................................................................... 21 B.5.5 Internrevisionens oberoende............................................................................... 22 2 (37) B.6 Aktuariefunktionens arbete ........................................................................................ 22 B.7 Uppdragsavtal ............................................................................................................ 22 B.7.1 Uppdragsavtal avseende väsentliga funktioner .................................................. 22 B.7.2 Uppdragstagare ................................................................................................... 23 B.8 Övrig information ...................................................................................................... 24 C. RISKPROFIL ............................................................................................................................................ 25 C.1 Teckningsrisk ............................................................................................................. 25 C.2 Marknadsrisk och aktsamma investeringar ............................................................... 27 C.3 Kreditrisk ................................................................................................................... 27 C.4 Likviditetsrisk ............................................................................................................ 29 C.5 Operativ risk .............................................................................................................. 29 C.6 Övriga materiella risker ............................................................................................. 30 C.7 Övrig information ...................................................................................................... 31 C.7.1 Säkerheter, lån mm ............................................................................................. 31 C.7.2 Riskreduceringstekniker ..................................................................................... 31 C.7.3 Stresstester .......................................................................................................... 31 D. VÄRDERING FÖR SOLVENSÄNDAMÅL ........................................................................................... 32 D.1 Tillgångar ................................................................................................................... 32 D.2 Försäkringstekniska avsättningar .............................................................................. 32 D.2.1 Bästa skattning ................................................................................................... 32 D.2.2 Riskmarginal ...................................................................................................... 32 D.2.3 Skillnad mot legala redovisningen ..................................................................... 32 D.3 Andra skulder ............................................................................................................ 33 D.4 Alternativa värderingsmetoder .................................................................................. 33 D.5 Övrig information ...................................................................................................... 33 D.5.1 Allmänt ............................................................................................................... 33 D.5.2 Framtida förvaltningsåtgärder ............................................................................ 33 D.5.3 Försäkringstagarnas beteende ............................................................................ 34 E. FINANSIERING........................................................................................................................................ 34 E.1 Kapitalbas .................................................................................................................. 34 E.1.1 Struktur, storlek och kvalité ............................................................................... 34 E.1.2 Medräkningsbarhet SCR och MCR .................................................................... 35 E.1.3 Förväntad utveckling av kapitalbasen ................................................................ 35 E.1.4 Övergångsregler ................................................................................................. 36 E.1.5 Utdelningar ......................................................................................................... 36 E.2 Solvenskapitalkrav och minimikapitalkrav ............................................................... 36 E.3 Användning av undergruppen för durationsbaserad aktiekursrisk vid beräkning av solvenskapitalkravet ............................................................................................................. 37 E.4 Skillnader mellan standardformalen och använda interna modeller.......................... 37 E.5 Överträdelse av minimikapitalkravet och solvenskapitalkravet ................................ 37 E.6 Övrig information om finansiering ............................................................................ 37 3 (37) Sammanfattning S:t Erik Försäkrings solvenskapitalkrav (SCR) har minskat under perioden, från 85 026 tkr per 31 december 2024 till 70 989 tkr per 31 december 2025. Bolagets kapitalbas har ökat under perioden samtidigt som solvenskapitalkravet minskat. Samlad effekt från förändrat är att solvenskapitalkvoten har ökat från 321 procent per 31 december 2024 till 471 procent per 31 december 2025. Bolagets har under perioden haft en omsättning om 188 161 tkr, ett tekniskt resultat om 18 304 tkr, ett resultat innan bokslutsdispositioner och skatt om 26 014 tkr och ett resultat efter bokslutsdispositioner om 26 373 tkr. Upplösning av säkerhetsreserven har skett med 7 732 tkr. S:t Erik Försäkrings senaste ORSA fastställdes av styrelsen vid styrelsemöte 2026-03-13 och tillsynsrapport skickades in till Finansinspektionen 2026-03-16. S:t Erik Försäkring har i övrigt, under perioden, inte förändrat verksamhet, företagsstyrnings- system, riskprofil eller värdering. A. Verksamhet och resultat A.1 Verksamhet A.1.1 Företagets namn och juridiska form S:t Erik Försäkrings AB, 516401-7948. Benny Fredrikssons torg 1 Box 16 179 103 24 Stockholm A.1.2 Antal anställda S:t Erik Försäkrings AB har 9 st anställda. A.1.3 Ägare S:t Erik Försäkring ägs till 100% av Stockholms Stadshus AB. Stockholms stadshus AB, 556415-1727, 105 35 Stockholm Tele: 08-508 290 00 (växel) Stockholms Stadshus AB är sedan 1991 moderbolag i en koncern som består av 16 aktiva dotterbolag och ett intressebolag. Mer än hälften av bolagen har i sin tur egna dotterbolag – underkoncerner. Stockholms Stadshus AB ägs av Stockholms stad (Stockholms kommun) och fungerar som en sammanhållande funktion för större delen av stadens aktiebolag. Tillsammans med stadens nämnder utgör dessa kommunkoncernen. Bolagen bedriver kommunal verksamhet genom att erbjuda och leverera service och tjänster åt stadens invånare; alltifrån bostäder, vattenförsörjning, skolbyggnader, hamnanläggningar och parkeringsverksamhet till turistinformation och kulturutbud. 4 (37) A.1.4 Grupp och anknutna företag S:t Erik Försäkring utgör tillsammans med Stockholms stadshus AB en grupp enligt 19 kap. 2§ sista stycket Försäkringsrörelselagen då Stockholms stadshus AB är ett försäkrings- holdingföretag med blandad verksamhet. S:t Erik Försäkring ska därmed rapportera väsentliga transaktioner med moderbolaget och anknutna bolag. • AB Familjebostäder • AB Svenska Bostäder • AB Stockholmshem • AB Stokab • Micasa Fastigheter i Stockholm AB • Skolfastigheter i Stockholm AB, SISAB • Stockholm Business Region AB • Stockholm Globe Arena Fastigheter AB • Stockholm Vatten Holding AB • Stockholms Hamn AB • Stockholms Stads Bostadsförmedling AB • Stockholms Stads Parkerings AB • Stockholms Stadsteater AB • S:t Erik Försäkrings AB • S:t Erik Markutveckling AB • Mässfastigheter i Stockholm AB • Stockholm Exergi Holding AB A.1.5 Utvecklingstendenser Bolagets affär kommer att fortsatt vara inom ramen för Stockholms stads verksamhet och därmed inte att förändras under perioden. Resultatet förväntas över tid utvecklas enligt budget med en vinst om 1000 tkr per år som stärker bolagets kapital. Då bolaget utgör Stockholms stads captivebolag blir konkurrens från andra bolag inte aktuell. 5 (37) A.1.6 Verksamhet 2025 Bolaget har som uppgift att svara för att det finns en effektiv riskfinansiering av anläggningar och verksamheter ägda av staden och närstående bolag genom ökad konkurrensutsättning. Bolaget ska förmedla försäkringslösningar, minimera försäkringskostnaderna och förbättra riskhanteringen för samtliga berörda enheter inom kommunkoncernen. S:t Erik Försäkrings AB ska vara det bästa och mest kostnadseffektiva alternativet för stadens nämnder och bolag. Inom ramen för detta ska S:t Erik Försäkring arbeta enligt en riskhanteringsprocess uppbyggd i följande steg: a) Identifiera och hantera försäkringsbara risker i samverkan med sina kunder inom Stockholms stads kommunkoncern b) Stimulera till att förebygga och begränsa skador c) Erbjuda behovsanpassade och kostnadseffektiva försäkringslösningar d) Ha samlad kunskap om kommunkoncernens incidenter och skador genom analyser och uppföljning A.1.6.1 Identifiera kommunkoncernens oönskade risker Bolaget ska bistå stadens förvaltningar och bolag med att identifiera sina risker. I bolagets arbete med att identifiera oönskade risker ska följande åtgärder utföras: • Tillhandahålla ett stadsgemensamt incidentrapporteringssystem (IA) • Påbörja arbetet med att förvaltningsetablera IA • Tillhandahålla skadestatistik • Genomföra 80 riskbesiktningar • Utbilda och stödja stadens enheter i det systematiska brandskyddsarbetet (SBA) • Samtliga anställda ska bedriva en aktiv omvärldsbevakning • Föra en löpande dialog med och träffa kunderna A.1.6.2 Förebygga kommunkoncernens risker Efter det att organisationens risker är identifierade ska dessa om möjligt begränsas. Bolagets uppgift är att stimulera detta skadeförebyggande arbete. I bolagets arbete med att förebygga risker ska följande åtgärder utföras: • Analysera anmälda incidenter i IA • Analysera kundernas skadestatistik • Analysera genomförda riskbesiktningar • Analysera resultatet av SBA-arbetet • Analysera erfarenheterna från bolagets omvärldsbevakning • Analysera erfarenheterna från dialogerna med kunderna 6 (37) A.1.6.3 Försäkra kommunkoncernens risker Kvarvarande försäkringsbara risker inom staden som inte kan undvikas ska försäkras hos S:t Erik Försäkring eller förmedlas via bolaget till externa parter. I bolagets arbete med att försäkra risker ska följande åtgärder utföras: • Optimera försäkringsskyddet för Stockholms stad • Tillhandahålla så kostnadseffektiva försäkringslösningar som möjligt • Analysera självbehållet i förhållande till bolagets riskaptit • Optimera utformningen av återförsäkringsskyddet • Beakta skadehistorik och riskförebyggande åtgärder vid premiesättning A.1.6.4 Analysera och följa upp kommunens riskhanteringsarbete För att kunna bedriva ett effektivt riskhanteringsarbete krävs en analys av hur situationen ser ut i dag för att sedan kunna styra åtgärderna dit där de gör mest nytta. A.1.6.5 Hållbar verksamhet Bolaget ska utifrån sina förutsättningar medverka till att stadens miljöprogram och klimat- handlingsplaner kan genomföras. Verksamheten i bolaget ska ha en så låg negativ miljöpåverkan som möjligt. Under 2024 och 2025 har bolaget deltagit i Stockholms Stadshus AB:s arbete med att förbereda hållbarhetsredovisning för hela stadens bolagskoncern. Detta arbete kommer att fortsätta under 2026. S:t Erik Försäkring arbetar med indirekt och direkt hållbarhet inom många områden, alltifrån personalrelaterade frågor till exempel riskerna som ett förändrat klimat ger. De kommande åren kommer bolaget att bedriva förebyggande arbete med anledning av risken för klimatrelaterade skador. Försäkringsmarknaden kommer successivt att kräva allt större åtgärder och anpassningar från staden för att försäkra de objekt som finns i riskfyllda områden. I bolagets arbete med att bedriva en hållbar verksamhet ska följande åtgärder utföras: • Delta i moderbolagets CSRD-arbete för hela bolagskoncernen • Arbeta för att förbättra bolagets informationssäkerhet • Driva doktorandprojekt tillsammans med KTH under perioden 2024-2026 för att minska skador för bostadsbolagen • Attrahera, utveckla och behålla medarbetare • Informationssäkerhet • Delta i moderbolagets arbetet med att införa CSRD A.1.6.6 Effektiv verksamhet Arbetet i företaget ska bedrivas så kostnadseffektivt med hög kvalitet och kundfokus. En kostnadseffektiv verksamhet ska uppnås genom att ha en så liten egen organisation som möjlig och kontinuerligt konkurrensutsätta de tjänster som bolaget köper externt. Därutöver ska bolagets rutiner kontinuerligt ses över för att om möjligt hitta nya metoder och hjälpmedel som kan öka effektiviteten och hålla de administrativa kostnaderna låga. En ökad grad av digitalisering kan vara en möjlig väg. • Bedriva verksamheten kostnadseffektivt t.ex. genom att dela tjänster med andra bolag 7 (37) • Leverera tjänster med hög kvalitet • Hålla en hög servicenivå till kunder • Fortsätta arbetet med att effektivisera verksamheten genom digitalisering och AI • Delta i stadens arbete för beredskap, kriser m.m. A.2 Försäkringsresultat S:t Erik Försäkring har under året haft ett positivt försäkringsresultat. Premieintäkten, före avgiven återförsäkring, har ökat med 2 766 tkr jämfört med föregående år till 188 161 tkr (183 927). Försäkringsrörelsens tekniska resultat uppgick till 18 304 tkr (30 881). Resultatet före bokslutsdispositioner och skatt uppgick till 26 014 tkr (44 931). Årets driftskostnader uppgick till 27 843 tkr (30 881). Den totala kapitalavkastningen uppgick till 10 147 tkr (11 180). Resultatet för 2026 är påverkat av en upplösning av säkerhetsreserven med 7 732 tkr (- 28 332). Inträffade och registrerade skador har resulterat i skadeutbetalningar uppgående till 66 686 tkr (42 625). Återförsäkrarnas andel av utbetalda skadeersättningar uppgår till 17 271 tkr (4 518). Utfall 2026 jämfört med utfall 2025 per försäkringsklass framgår av nedanstående tabell. Egendom Ansvar Olycksfall Totalt (tkr) 2025 2024 2025 2024 2025 2024 2025 2024 Premieintäkter (f.e.r.) 89 148 86 127 4 911 4 818 16 336 16 312 110 395 107 257 1 968 3 114 108 174 361 590 2 437 3 879 Kapitalavkastning överförd från finansrörelsen -43 956 -41 203 -2 393 -2 762 -20 337 1 340 -66 686 -42 625 Försäkringsersättningar (f.e.r.) Driftskostnader -22 484 -24 797 -1 239 -1 387 -4 120 -4 696 -27 843 -30 881 24 676 -11 915 1 388 6 498 -7 760 -9 612 18 304 37 630 Försäkringsrörelsens tekniska resultat 1f.e.r. – för egen räkning, d.v.s. nettot efter återförsäkrare erhållit premier respektive betalat ersättningar. A.3 Investeringsresultat S:t Erik Försäkrings investeringsresultat utgörs av ränteintäkter enligt nedanstående tabell. Investeringsresultat (tkr) 2025 2024 Övriga ränteintäkter 10 147 11 180 Totalt 10 147 11 180 S:t Erik Försäkrings placeringstillgångar har uteslutande bestått av medel på koncernkonto i Stockholms stad. S:t Erik Försäkring har alltså inte deltagit i någon värdepapperisering. Allt investeringsresultat inom S:t Erik Försäkring redovisas via resultaträkningen, det förekommer alltså inget övrigt totalresultat som redovisas direkt mot eget kapital i investerings- verksamheten. 8 (37) A.4 Resultat från övriga verksamheter S:t Erik Försäkring har inga övriga verksamheter. A.5 Övrig information S:t Erik Försäkring är ett kommunägt ”captivebolag” och dess verksamhet avser endast att tillgodose kommunens försäkringsbehov. Därmed finns ingen övrig information om verksamheten att lämna. 9 (37) B. Företagsstyrningssystem S:t Erik Försäkring är ett captive och försäkrar i grunden endast sina ägares risker. Företagsstyrningssystemet innehåller samtliga de delar som krävs enligt gällande regelverk och har anpassats efter S:t Erik Försäkrings verksamhet, omfattning och riskernas komplexitet. S:t Erik Försäkring bedömer därmed utformningen som lämplig. B.1 Allmän information om företagsstyrningssystemet B.1.1 Struktur S:t Erik Försäkring har följande övergripande struktur för företagsstyrningssystemet: B.1.2 Ansvar B.1.2.1 Bolagsstämma och ägare S:t Erik Försäkrings styrelse och VD ska följa bolagsstämmans beslut och ägardirektiv från Stockholms stads kommunfullmäktige, såvida dessa inte strider mot bolagsordning, lag eller S:t Erik Försäkrings intresse. Enligt bolagsordningen har kommunstyrelsen, med undantag för sekretessbelagda uppgifter, rätt att ta del av S:t Erik Försäkrings handlingar och räkenskaper, samt i övrigt inspektera S:t Erik Försäkring och dess verksamhet. Enligt bolagsordningen ska för S:t Erik Försäkring strategiskt viktiga beslut eller principiellt viktiga frågor behandlas av kommunfullmäktige. B.1.2.2 Styrelsen Styrelsen har inte inrättat några kommittéer. Styrelsen i sin helhet hanterar därför de frågor som tillkommer ett revisionsutskott. Styrelsen har det yttersta ansvaret för S:t Erik Försäkrings organisation och förvaltning. 10 (37) Styrelsen ska se till att S:t Erik Försäkrings organisation är så utformad att bokföringen, medelsförvaltningen och S:t Erik Försäkrings ekonomiska förhållanden i övrigt kontrolleras på ett betryggande sätt. Styrelsen fastställer målsättningar, policys och strategiska planer som är av väsentlig betydelse för S:t Erik Försäkring. B.1.2.3 VD VD ansvarar för att verksamheten i S:t Erik Försäkring bedrivs enligt ägarens och styrelsens instruktioner samt att verksamheten följer gällande lagar och regler. VD ansvarar också för att verksamheten bedrivs enligt de mandat för risktagande som styrelsen fastslagit. VD utser funktionsansvariga och ansvarar för att kontraktsuppföljning sker samt att kontroller görs löpande i verksamheten. B.1.2.4 Internrevision Internrevisionen tillsätts av styrelsen och har i uppdrag att utföra oberoende granskning av verksamheten med avseende på bland annat tillförlitlighet och effektivitet i organisationen. Därutöver inbegriper uppdraget granskning av den interna kontrollen samt S:t Erik Försäkrings andra centrala funktioner. För att säkerställa att den oberoende granskningsfunktionen verkligen är oberoende gentemot de delar av den operativa verksamheten som den är satt att granska, ska ansvarig för internrevision rapportera direkt till styrelsen. Funktionens uppdrag regleras av S:t Erik Försäkrings instruktion för internrevision. B.1.2.5 Funktionen för regelefterlevnad Funktionen för regelefterlevnad ska ansvara för att S:t Erik Försäkrings anställda, företagsledning och styrelse hålls informerade om verksamhetens efterlevnad av lagstiftning, föreskrifter, allmänna råd, god affärssed, etiska regler och rekommendationer från branschorganisationer samt interna regler. I uppdraget ingår att bedöma och informera om de risker S:t Erik Försäkring kan exponeras för från bristande regelefterlevnad. Funktionen för regelefterlevnad är inriktad främst mot regler och rekommendationer rörande den tillståndspliktiga försäkringsverksamheten. Funktionen ansvarar inte för att följa upp och kontrollera i fråga om civilrättsliga, skatterättsliga, redovisningsrättsliga, konkurrensrättsliga frågor eller frågor som rör hantering av personuppgifter . Detta hanteras av andra funktioner i S:t Erik Försäkring. Funktionens uppdrag regleras av S:t Erik Försäkrings riktlinjer för regelansvarig samt gällande uppdragsavtal. B.1.2.6 Riskhanteringsfunktionen Funktionen skall verka självständig och i syfte att kontrollera och informera styrelsen, verkställande direktören och övriga om S:t Erik Försäkrings risker, exempelvis i samband med affärshändelser, tagna positioner samt utnyttjade limiter i anslutning till affärsbeslut. Funktionen ska ge en allsidig och saklig bild av S:t Erik Försäkrings väsentliga risker med hänsyn till verksamhetens art och omfattning och ska analysera riskutvecklingen. Det innebär att funktionen ska analysera, sammanställa och rapportera S:t Erik Försäkrings samlade 11 (37) riskbild. Funktionen ska ta initiativ till de förändringar av riktlinjer och processer som funktionen bedömer nödvändiga för att säkerställa ett välfungerande riskhanteringssystem. Funktionen ansvarar för att genom riskregistret kontrollera att varje väsentlig risk har en riskägare samt att följa upp att risken hanteras av verksamheten och därvid rapportera avvikelser till verksamheten, styrelsen och VD. Funktionens uppdrag regleras av S:t Erik Försäkrings instruktion för riskhanteringsfunktionen och gällande uppdragsavtal. B.1.2.7 Aktuarie Kontrollen av S:t Erik Försäkrings försäkringsrisker som kan beräknas med statistiska metoder (ex IBNR) ska utföras och rapporteras fortlöpande av S:t Erik Försäkrings aktuarie till verksamheten och styrelsen. Aktuarien lämnar information till riskhanteringsfunktionen om försäkringsrisker. Aktuarien uttalar sig även om kvalitén på den information som finns i S:t Erik Försäkrings IT-system och som används av aktuarien. Funktionens uppdrag regleras av gällande aktuarieinstruktion. B.1.3 Materiella ändringar under perioden Inga materiella ändringar har förekommit under rapporteringsperioden. B.1.4 Styrdokument för ersättning S:t Erik Försäkring har ett styrdokument för ersättning ” Ersättningspolicy” där det fastställs att rörlig ersättning inte ska utgå till någon befattningshavare hos S:t Erik Försäkring. Styrelseledamöterna är (med ett undantag) tjänstemän inom Stockholms stad och har inte någon ersättning eller pension från S:t Erik Försäkrings AB. De anställda i S:t Erik Försäkring har lön samt kollektivavtalad tjänstepension enligt FTP- planen. B.2 Lämplighetskrav B.2.1 Lista över centralt ansvariga Aktuariefunktion Karin Jacobsson Styrelseledamot S:t Erik Försäkrings AB 070-7372042 karin.jacobsson@familjebostader.com Regelefterlevnadsfunktion Carina Jonsson Styrelseledamot S:t Erik Försäkrings AB. 076-1227029 carina.jonsson@stockholm.se 12 (37) Riskhanteringsfunktion Jan Willgård Vice ordförande S:t Erik Försäkrings AB 072-2531227 jan@willgard.se Internrevisionsfunktion Peter Kvarnhem Styrelseordförande S:t Erik Försäkrings AB 08-50829390 peter.kvarnhem@stadshusab.se B.2.2 Styrdokument för lämplighetsprövning Styrelsen har fastställt ett styrdokument, ”Riktlinjer för lämplighetsprövning av styrelse, ledning och nyckelfunktioner”. Riktlinjerna uppdateras minst årligen samt vid behov och innehåller mål, processer för lämplighetsprövning samt de krav som ställs på de olika funktionerna m.m. B.2.3 Process för lämplighetsprövning S:t Erik Försäkring har en process för kvalifikationer och lämplighet av personer i ledande ställning, nyckelpersoner samt personer som ansvarar för en central funktion., vilket framgår av företagets styrdokument ”Riktlinjer för lämplighetsprövning av styrelse, lednings- och nyckelfunktioner”. Kontroll ska ske årligen samt vid ändrade legala krav, nya produkter som påverkar behovet av kompetens samt vid väsentlig förändring av bolagets risker. Bedömningen ska innefatta professionella meriter, formella kvalifikationer, kunskaper och relevanta erfarenheter inom försäkringssektorn, andra finanssektorer eller andra branscher och ska beakta de arbetsuppgifter som personen tilldelats och i dennes fall de relevanta kunskaper som behövs när det gäller försäkringar, finansområdet, redovisning, aktuariell förmåga och ledarskapsförmåga. Bedömningen av en persons anseende ska innefatta en granskning av personens ärlighet och ekonomiska ställning baserad på dokumentation avseende dennes anseende, uppträdande och yrkesutövande, inbegripet straffrättsliga, finansiella och tillsynsrelaterade aspekter som är relevanta för bedömningen. Avseende brott ska preskriptionstiden för eventuella brott eller andra påföljder enligt nationell lagstiftning bedömas. Adekvata undersökningar av anseende ska göras inför tillträde som styrelseledamot eller ansvarig för funktion samt årligen inom ramen för styrelsens utvärdering/VD:s utvecklingssamtal med funktionsansvarig. Den leverantör som utför en funktion ska uppfylla kraven för funktionen enligt riktlinjerna. Ansvarig för den outsourcade funktionen på bolaget ska ha tillräckliga kunskaper och erfarenheter avseende funktionen för att kunna leda och kontrollera leverantörens utförande av tjänsten med hänsyn till arten, omfattningen och komplexiteten av riskerna i företagets verksamhet. Ledning hämtas i tillämpliga delar från de krav som ställs på funktionen. 13 (37) B.3 Riskhanteringssystem inklusive egen risk- och solvensbedömning B.3.1 Riskhanteringssystemets uppbyggnad Styrelsen för S:t Erik försäkring har antagit riktlinjer för riskhantering, instruktion för riskhanteringsfunktionen samt en policy för ORSA som tillsammans är centrala för utformningen av S:t Erik Försäkrings riskhanteringsarbete. Syftet med S:t Erik Försäkrings riskhanteringssystem är att säkerställa att S:t Erik Försäkrings väsentliga risker blir löpande identifierade, bedömda, prioriterade och hanterade på ett enhetligt sätt för att uppnå S:t Erik Försäkrings fastlagda mål. Ytterst är målet att säkerställa en fortlöpande uthållig verksamhet genom att skydda S:t Erik Försäkrings anställda, dess tillgångar och åtaganden samt ytterst dess anseende och förtroende. Bolagets riskhanteringssystem består av följande huvudsakliga delar: • Ett kapitalmål vilket anger bolagets målsättning i fråga om det eller de mest relevanta kapitaliseringsmåtten för bolaget. Kapitalmålet kompletterar riskaptiten per riskområde genom att ange bolagets övergripande riskaptit och -tolerans. • En riskhanteringsprocess övergripande och för respektive riskområde eller delområde. Utformningen av riskhanteringsprocessen för enskilda områden varierar med områdets • beskaffenhet. • En riskfilosofi vilken utgör en bakgrund till riskhanteringssystemet. Riskfilosofin innefattar en konceptuell uppdelning av riskerna i riskgrupper och en kategorisering för bolagets inställning till enskilda riskområden som önskvärda, nödvändiga eller ej önskvärda • En riskaptit vilken kompletterar bolagets inställning enligt riskfilosofin genom att, antingen kvalitativt eller kvantitativt, ange vilken tolerans bolaget har mot respektive riskområde eller delområde Bolagets övergripande risktolerans Styrelsen har som kapitalmål tillika övergripande risktolerans angett att S:t Erik Försäkrings solvenskapitalkvot enligt Solvens II-regelverket inte ska understiga 150 procent. Solvenskapitalkravet beräknas härvid enligt regelverkets standardformel. Styrelsen har för olika riskområden fastställt toleransnivåer och limiter för riskexponeringar inom området. S:t Erik Försäkrings övergripande riskhanteringsprocess innefattar följande element: 1. Identifiering och beskrivning av risker 2. Riskvärdering inklusive definitioner av riskmått 3. Fastställande av riskaptit och toleransnivåer 4. Riktlinjer och rutiner för riskreducering 5. Rutiner för mätning och rapportering av riskexponering Identifiering, värdering och fastställande av riskaptit utgör viktiga delar av bolagets strategiarbete och är därför integrerade med den årliga verksamhetsplaneringen och med den egna risk- och solvensutvärderingen (ORSA). Riskhanteringssystemet täcker samtliga risker bolaget är exponerade mot. Analys av påverkan på riskexponeringen görs vid varje betydande förändring i verksamhetens processer, organisation eller inriktning (inklusive vid outsourcing). 14 (37) Övervakning och efterlevnad av krav För kontroll och uppföljning av bolagets riskhanteringssystem, internkontroll och regelefterlevnad finns de centrala funktionerna internrevision, regelefterlevnadsfunktionen, riskhanteringsfunktionen samt aktuariefunktionen. Bolagets riskhanteringsfunktion ansvarar för att ge en allsidig och saklig bild av Bolagets risker inklusive analyser av utvecklingen av riskerna. I ansvaret ligger även att föreslå ändringar i styrdokument och processer som funktionens iakttagelser om riskhantering ger anledning till. Riskhanteringsfunktionen ansvarar för att omedelbart rapportera identifierade akuta risker och incidenter till ledning och styrelse. Riskrapporten ska väga in information från aktuarien och funktionen för regelefterlevnad, riskhanteringsfunktionens egna bedömningar av denna information, incidenter rapporterade av verksamheten samt risker som inte tagits upp tidigare. Rapporten skickas till styrelsen och ledningen och föredras som regel även muntligen för styrelsen. Regelefterlevnadsfunktionen är ett stöd för att Bolaget arbetar enligt gällande regler och har bland annat till uppgift att bistå organisationen vid utformning av interna regelverk, bevaka förändringar i de externa regelverken och följa upp regelefterlevnaden i Bolaget. Funktionen rapporterar löpande till styrelsen. Internrevision och Aktuariefunktionen beskrivs närmare i avsnitten B5 respektive B6. B.3.2 Egen risk- och solvensbedömning Den egna risk- och solvensanalysen (ORSA) omfattar S:t Erik Försäkring som helhet. ORSA:n är synkroniserad med S:t Erik Försäkrings årliga affärs- och kapitalplaneringsprocess. ORSA:n redogör även för hur kapitalanskaffning eller riskreducering, vid behov, ska göras om stressade scenarier blir verklighet. S:t Erik Försäkrings process för den Egna risk- och solvensbedömningen (ORSA) syftar till att: • bedöma S:t Eriks totala solvensbehov på kort (upp till ett år) och medellång sikt (tre år) med beaktande av riskprofil, risktolerans och affärsstrategi, • vara underlag för finansieringsplan, • ge styrelsen en fördjupad förståelse för de risker som verksamheten är förknippad med och utmana dessa i solvenshänseende, • ingå som en integrerad del i affärsstrategin och beaktas vid S:t Erik Försäkrings strategiska beslut, affärsplaner och budget, • bedöma S:t Erik Försäkrings fortlöpande efterlevnad av bestämmelserna om solvens- och minimikapitalkrav. • bedöma hur betydande skillnaderna är mellan S:t Erik Försäkrings riskprofil och de antagande om risker som har legat till grund för beräkning av solvenskapitalkravet. Bolaget genomför scenarioanalyser där externa faktorer stressats och påverkan på bolagets verksamhet och kapitalkravet analyserats samt en sammantagen analys huruvida det håller tillräckligt med kapital i förhållande till kapitalkravet. Bolagets policy för ORSA styr arbetsflödet för genomförandet av ORSA:n. Det finns även en dokumenterad ORSA process samt en tidplan för de aktiviteter som genomförs. Vd har det 15 (37) operativa ansvaret för att genomföra ORSA processen. Prognoser för varje beslutat scenario har tagits fram av ekonomiansvarig tillika bolagets företagsledning inklusive aktuariefunktionen och funktionen för riskhantering. Ordinarie ORSA ska minst genomföras årligen. En extraordinär ORSA ska även initieras vid konstaterade överträdelser eller väsentligt förhöjd risk för överträdelse av bolagets centrala risktoleranser avseende solvenskvot eller försäkringsrisker. Även vid beslut som medför en väsentligt förändrad riskprofil ska en extraordinär ORSA genomföras, exempelvis vid betydande förändringar i självbehåll i avgiven återförsäkring. Under året har Bolaget gjort bedömningen att ingen extraordinär ORSA har behövt genomföras. Styrelsen är ytterst ansvarig för ORSA-processen och ska delta aktivt och utmana de kvalitativa och kvantitativa bedömningarna, beskrivningen av S:t Erik Försäkrings risker, utformning av stresstester samt fatta beslut om den rapport som dokumenterar ORSA- processen och dess slutsatser. VD har det operativa ansvaret för att arbetet med ORSA genomförs i enlighet med S:t Erik Försäkrings riktlinjer. S:t Erik Försäkrings senaste ORSA fastställdes av styrelsen vid styrelsemöte 2026-03-14 och tillsynsrapport skickades in till Finansinspektionen 2026-03-16. B.3.3 Styrande dokument B.3.3.1 Teckningsrisk Bolagets strategi och mål vid hantering av teckningsrisker är: • att uppnå en tillfredsställande riskspridning och en i övrigt lämplig sammansättning av bolagets försäkringsportfölj och risker så att dessa motsvarar bolagets risktäckningskapacitet och ej äventyrar bolagets soliditet, • att säkerställa att bolagets portfölj och risksammansättning överensstämmer med bolagsordning, verksamhetsmål och övriga policydokument, • att säkerställa att en tillfredsställande dokumentation och rapportering upprätthålls. Bolaget har en särskild instruktion för teckningsrisker som ska följas. B.3.3.2 Marknadsrisk S:t Erik Försäkring ska löpande tillse att det i verksamheten finns placerat kapital som minst svarar mot det åtagande S:t Erik Försäkring har i form av försäkringsrisker, placeringsrisker och riskmål. Kapitalet ska vid var tid vara placerat på ett betryggande sätt och så att S:t Erik Försäkrings betalningsberedskap är tillfredställande. Styrelsen fastställer årligen bolagets placeringsriktlinjer som styr hur bolaget får placera sina tillgångar, samt ansvarar för att de följs och prövar fortlöpande om de behöver ändras. Vidare så antar styrelsen årligen finanspolicyn för Stockholms Stadshus AB där ytterligare regler finns. S:t Erik Försäkring ska placera sina finansiella tillgångar på ett aktsamt sätt så att god betalningsförmåga upprätthålls vid varje tidpunkt. Hänsyn ska tas till eventuell profil på förväntade skadeutbetalningar, villkor i gällande återförsäkringsavtal, SCR-kvot och resultatet av ORSA. 16 (37) B.3.3.3 Kreditrisk S:t Erik Försäkring får endast placera i tillgångar utgivna eller garanterade av svenska staten, svensk kommun eller annan därmed jämförlig samfällighet samt på koncernkonto i Stockholms stad, vilket medför att ingen kreditrisk anses föreligga för dessa tillgångsslag. Återförsäkring ska endast tecknas hos återförsäkrare som har en rating (eller motsvarande ekonomisk förmåga) om minst A enligt Standard & Poor’s klassificering, eller motsvarande ekonomisk förmåga). Det övergripande återförsäkringsskyddet för S:t Erik Försäkring ska godkännas årligen av styrelsen. B.3.3.4 Likviditetsrisk S:t Erik Försäkring ska enligt bolagets placeringsriktlinjer sträva efter att om möjligt placera i tillgångar med god likviditet. Likviditetsrisken bedöms åtminstone en gång om året i samband med den översiktliga genomgången av bolagets samtliga risker. B.3.3.5 Operativ risk Bolaget strävar efter att minimera operativa risker. Riskerna bedöms vid väsentligt förändrad verksamhet och annars minst vartannat år i en riskworkshop där utgångspunkten är S:t Erik Försäkrings olika processer och affärsplan. Identifierade risker dokumenteras i bolagets riskregister och rapporteras årligen till styrelsen. B.3.4 Materiella risker och solvensbehov S:t Erik Försäkring använder sig av standardformeln för att beräkna solvenskapitalkravet. Bolagets totala solvensbehov utvärderas inom den egna risk och solvensbedömningen. Inga övriga materiella risker eller behov av ytterligare kapital har identifierats. De risker som bolaget är exponerade för är teckningsrisk, motpartsrisk (kreditrisk), operativ risk och marknadsrisk. Fördelningen för de olika kategorierna framgår i figuren nedan. B.3.5 Aktsamma investeringar S:t Erik Försäkring ska placera sina finansiella tillgångar på ett aktsamt sätt så att god betalningsförmåga upprätthålls vid varje tidpunkt. Hänsyn tas till eventuell profil på förväntade skadeutbetalningar, villkor i gällande återförsäkringsavtal, SCR-kvot och resultatet av ORSA. B.3.6 Kreditvärderingar Kreditvärderingar från externa kreditvärderingsinstitut används vid placering av återförsäkring. Återförsäkring ska endast tecknas hos återförsäkrare som har en rating (eller 17 (37) motsvarande ekonomisk förmåga) om minst A enligt Standard & Poor’s klassificering, eller motsvarande. Bolaget gör även en egen bedömning av kvalitén på rating utifrån tillgänglig information. Återförsäkrare som har lägre rating eller saknar rating, får endast användas efter särskilt beslut av styrelsen. B.3.7 Extrapolering av den fria räntesatsen, matchningsjustering och volatilitetsjustering Ingen matchnings-, volatilitetsjustering eller extrapolering av den riskfria räntesatsen görs. B.4 Internkontrollsystem B.4.1 Struktur Intern styrning och kontroll finns definierat i en mängd dokument på verksamhetsnivå, processbeskrivningar, Riktlinjer för rapportering m.fl. Av de dokumenten framgår de kontroller och beslut som fattas i allt från kontroll av upphandlingsunderlag till beslut av styrelsen avseende rapportering till Finansinspektionen. Styrelsen ansvarar för att S:t Erik Försäkring har klara och tydliga regler för hur verksamheten ska organiseras och hur verksamheten ska förvaltas genom att upprätta instruktioner och styrdokument. S:t Erik Försäkrings VD har i sin tur ansvaret för den löpande förvaltningen och för att i förekommande fall delegera ansvaret vidare till S:t Erik Försäkrings anställda genom tydliga befattningsbeskrivningar och arbetsinstruktioner. I de fall verksamheten är utlagd på extern part ska klara och tydliga uppdragsavtal upprättas. Ansvarsområden och beskrivning av olika funktioner framgår av avsnitt B.1 ovan. Denna bild ger en översiktlig bild av den interna kontrollen med rapportering och kompletterar således avsnitt B.1. 18 (37) Styrdokument Beslutsinstans Återrapportering Bolagsordning och Ägaren Årsredovisning bolagsstämmo- protokoll Styrelsen Budget, prognoser, Arbetsordning för kvartalsrapporter och VD och styrelse, årsbokslut samt i riktlinjer och särskilda fall ”Rapport styrdokument av händelse av väsentlig betydelse” VD Riktlinjer för intern Revisionsrapporter, styrning och rapporter från kontroll, funktionen för internrevision regelefterlevnad, instruktioner för riskrapporter funktionen för regelefterlevnad, riskhanteringspolicy Internrevision, funktionen för regelefterlevnad och riskhantering Resultat av utförda arbetsinstruktioner via ekonomi- & Befattningsbeskriv- försäkringssystem ning och/eller skriftliga arbetsinstruktioner samt uppdragsavtal Anställda och underleverantörer B.4.2 Ansvar Styrelsen och VD fördelar ansvar och arbete på ett sådant sätt att intressekonflikter undviks. B.4.3 Dualitet För att minska risken för rena handläggningsfel och avsteg från fastställda instruktioner har samtliga arbetsinstruktioner upprättats så att det alltid är fler än en befattningshavare som handlägger ett ärende genom hela behandlingskedjan. B.4.4 Uppföljning För att kunna bedriva verksamheten på ett effektivt sätt följs verksamheten upp löpande och på ett ändamålsenligt sätt som en del av S:t Erik Försäkrings processer. B.4.5 Systeminformation En stor risk i samband med beslutsfattande är att beslutsunderlaget inte stämmer överens med verkligheten vilket i sin tur leder fram till felaktiga beslut. Av det skälet innehåller bolagets informations- och rapporteringssystem aktuell och relevant information och processer har utarbetats för att så kan ske. B.4.6 Rapportering Återrapporteringen i S:t Erik Försäkring är utformad så att samtliga berörda enheter, inklusive ägare och styrelse, dels får sådan saklig, utförlig och relevant information som behövs för att kunna fatta väl underbyggda beslut och dels att de löpande informeras om utvecklingen av S:t Erik Försäkrings verksamheter. 19 (37) Verksamheten Samtliga anställda som får kännedom om en incident, risk eller händelse av väsentlig betydelse ska genast informera VD och berörd funktion om händelsen. Genom S:t Erik Försäkrings IT-system får VD även kännedom om tecknade försäkringar, inträffade skador samt ekonomiskt utfall. Regelefterlevnadsfunktionen Regelansvarig informerar styrelsen, företagsledning och anställda om ändrad lagstiftning, god affärssed, etiska regler och rekommendationer från branschorganisationer, samt interna regler. Rapportering sker i enlighet med av styrelsen beslutad instruktion. Internrevision Internrevisionen utvärderar och rapporterar, minst en gång per år, statusen på den interna kontrollen inom S:t Erik Försäkring och rekommenderar åtgärder till företagsledningen för att komma tillrätta med brister. Riskhanteringsfunktionen Riskhanteringsansvarig rapporterar löpande VD och avlägger regelbundet skriftlig rapport till styrelsen samt närvarar vid styrelsemöten samt vid behov. VD Till styrelsen presenterar VD budget och långsiktig strategisk inriktning, kvartalsrapporter med prognoser samt årsbokslut i enlighet med ”Instruktion för rapportering av S:t Erik Försäkrings ekonomiska situation m.m.” Vid behov ska VD även ge förslag på ändrade instruktioner och riktlinjer. VD ska även årligen redovisa genomgång av kontraktsuppföljning och internkontrollplan. Styrelse S:t Erik Försäkrings styrelse ansvarar för att det upprättas årsredovisning och revisionsberättelse till ägarna. Aktuariefunktionen Aktuarien tillhandahåller löpande, till berörda funktioner, underlag för den aktuariella delen av rapporteringen, lämna årligen aktuarieutlåtande och försäkringsteknisk utredning till S:t Erik Försäkrings styrelse samt medverkar vid styrelsemöten om styrelsen så begär. B.4.7 Regelefterlevnadsfunktionens aktiviteter under rapporteringsperioden Regelefterlevnadsfunktionen har under rapporteringsperioden avlämnat rapport och deltagit vid styrelsemötena. Vidare har en riskbaserad årsplan upprättats, regelbunden rådgivning och undervisning skett med verksamhet och styrelse. B.4.8 Styrdokument för regelefterlevnad Styrdokumentet omfattar beskrivning av arbetsuppgifter, gränsdragning mot andra funktioner, rapportering m.m. Styrdokumentet revideras normalt vid styrelsemötet i maj då styrelsen diskuterar innehåll och rapportering. Verksamheten och regelefterlevnadfunktionen har då lämnat sina synpunkter 20 (37) och förslag. Vid behov sker revidering vid nästkommande styrelsemöte eller, vid brådska, per capsulam. Några materiella ändringar av styrdokumentet har inte skett under rapporteringsperioden. B.5 Internrevisionsfunktion B.5.1 Utförda granskningar Granskningar har skett enligt internrevisionsplan för 2025 enligt följande: • Processen för ORSA med inriktning på aktuariens- och riskhanteringsfunktionens arbete. • IKT-tredjepartsrisker B.5.2 Iakttagelser, rekommendationer och åtgärder Funktionen gjorde sju observationer, tre avseende ORSA och 4 avseende IKT-processen. Funktionen rekommenderade att bolaget förtydligar ORSA-processen och uppdaterar och förtydligar dokument avseende IKT-tredjepartshantering. Bolaget har under i mars 2026 uppdaterat och förtydligat flertalet styrande dokument inom aktuella områden och fortsätter att förtydliga de processer bolaget har. B.5.3 Styrdokument för internrevisionen Styrdokumentet omfattar beskrivning av arbetsuppgifter, gränsdragning mot andra funktioner, rapportering m.m. Styrdokumentet revideras normalt vid styrelsemötet i maj då styrelsen diskuterar innehåll och rapportering. Verksamheten och internrevisionen har då lämnat sina synpunkter och förslag. Vid behov sker revidering vid nästkommande styrelsemöte eller, vid brådska, per capsulam. Några materiella ändringar av styrdokumentet har inte skett under rapporteringsperioden. B.5.4 Revisionsplan Revisionsplanen styr internrevisionens arbete under året. Internrevisionen tar fram förslag på revisionsinsatser som bör genomföras utifrån de risker som identifierats. Potentiella risker har främst identifierats avseende arbetet med intern kontroll och styrning med anledning dokumentation av processer samt av arbete med hållbarhetsfrågor. Internrevisionen har i samband med framtagande av 2026-2027 års revisionsplan identifierat förslag på granskningsområden: • Intern styrning och kontroll med inriktning på riskhanteringsfunktionen • Granskning av skaderevision. 21 (37) B.5.5 Internrevisionens oberoende För att säkerställa att internrevisionen verkligen är oberoende gentemot de delar av den operativa verksamheten som den är satt att granska, ska ansvarig för internrevisions- funktionen rapportera direkt till styrelsen. Utöver S:t Erik Försäkrings riktlinjer för internrevision ska internrevisionen fritt bestämma över sitt eget arbete. De som utfört internrevisionen har inte innehaft några andra centrala funktioner i bolaget. B.6 Aktuariefunktionens arbete Aktuariefunktionen har under rapporteringsperioden beräknat bästa skattningen av de försäkringstekniska avsättningarna kvartalsvis samt uttalat sig om nödvändiga premienivåer i förhållande till försäkringsåtagandet. Funktionen har granskat bolagets beräkning av riskmarginal och solvenskapitalkrav. Funktionen rapporterar även kvartalsvis bearbetad och analyserad skadestatistik och jämförelse med estimat till riskhanteringsfunktionen, som rapporterar vidare till styrelsen. En gång om året sammanställs en aktuarierapport som redovisas för styrelsen. I rapporten sammanfattas aktuariens iakttagelser och eventuella rekommendationer som även verksamheten tar del av och följer. B.7 Uppdragsavtal B.7.1 Uppdragsavtal avseende väsentliga funktioner Som kommunalt ägt captive styrs bolagets uppdragsavtal av Lag om offentlig upphandling (LOU) som stadgar en rad krav avseende format och kontroll vid upphandling. Utöver LOU har S:t Erik Försäkring i sitt styrdokument ” Riktlinjer för uppdragsavtal” reglerat hur outsourcing av operativ verksamhet eller funktioner av väsentlig betydelse får ske. Ett uppdragsavtal får inte avse operativ verksamhet eller funktioner som är av väsentlig betydelse, om det kan leda till att: • kvaliteten i företagsstyrningssystemet försämras väsentligt, • den operativa risken i företaget ökar väsentligt, • Finansinspektionens möjlighet att utöva tillsyn försämras, eller, • försäkringstagarnas möjlighet till tillfredsställande och fortlöpande service inte kan upprätthållas. En extern part som åtar sig uppdrag att utföra en tjänst åt bolaget skall följa bolagets policys och riktlinjer samt skall leva upp till de lagkrav som ställs på bolagets verksamhet. I riktlinjerna regleras vilka funktioner och aktiviteter som anses vara viktiga eller kritiska för bolagets verksamhet, hur riskanalys ska ske innan outsourcing får ske, de krav som måste vara uppfyllda för att verksamhet ska få bedrivas av extern part, vad som ska regleras i avtalet med uppdragstagare samt anmälan till och kontrollmöjligheter för Finansinspektionen. Följande verksamheter har identifierats som viktiga eller kritiska: • VD Anställd i bolaget. 22 (37) • Aktuarie Uppdragsavtal Bolagets storlek medger inte en aktuarie på heltid, varför funktionen bedrivs genom uppdragsavtal. • IT Uppdragsavtal Bolaget har gemensamt IT-system med Stockholms kommunkoncern som hanterar denna fråga för alla förvaltningar och bolag, vilket skapar synnergieffekter. En anställd IT- ansvarig finns i bolaget. • Internrevision Uppdragsavtal Funktionen bedrivs genom uppdrags- avtal då bolagets storlek inte medger en anställd internrevisor, som dessutom skulle få svårt att vara oberoende från verksamheten vid en anställning. • Regelefterlevnad Uppdragsavtal Samma motivering som för internrevision. • Skadereglering Uppdragsavtal Bolaget har en skadeansvarig som samordnar skadorna, regleringen sker dock via uppdragsavtal. Bolagets storlek medger inte skadereglerare inom bolagets samtliga försäkrings- områden. • Försäkringshantering Hanteras inom bolaget. • Riskhantering Uppdragsavtal Samma motivering som för internrevision. • Ekonomi Ekonomifunktionen består utav en anställd i S:t Erik Försäkring. Den för uppdragsavtalen gällande lagstiftningen utgörs av svensk rätt med Stockholms tingsrätt som tvistefora. Vidare har bolaget riktlinjer och processer för riskbaserad kontraktsuppföljning och för kompetens/redbarhetskrav avseende uppdragstagare i centrala funktioner. Varje uppdragsavtal har en utsedd avtalsansvarig som följer upp avtalet efter en upprättad matris, rapporterar detta årligen till VD som redovisar detta för styrelsen. B.7.2 Uppdragstagare Nedan angivna uppdragstagare är utförare, samtliga centralt ansvariga för väsentliga funktioner (beställaransvariga) finns i bolaget och framgår av B.2.1. Uppdragstagarnas kunskaper, kapacitet och rättsliga behörigheter kontrolleras enligt vad som beskrivits ovan, särskilt ska då betonas att S:t Erik Försäkrings AB upphandlar leverantörer enligt LOU. 23 (37) Aktuarie Nordic Actuary AB, 556907-0443 Ola Hestnes Aktuarie IT Tieto , 556103-2698 Internrevision Grant Thornton Sweden AB, 556356-9382 Anastasiia Slovak Regelefterlevnad Wesslau Söderqvist Advokatbyrå, 969692-4969 Max Björkbom Skadereglering JW AB, 556934-3345 Fredrik Jönsson B.8 Övrig information Ingen övrig information finns att lämna om företagsstyrningssystemet (och inga materiella förändringar har förekommit under perioden). 24 (37) C. Riskprofil S:t Erik Försäkring analyserar sin riskprofil utifrån den process som beskrivs i avsnitt B.3.1. S:t Erik Försäkring använder sig av standardformeln för att beräkna S:t Erik Försäkrings solvenskapitalkrav. Inom ramen för ORSA-processen, se avsnitt B.3.2, görs en bedömning om ytterligare kapital krävs för någon riskexponering utöver det som resulterar från standardformeln. Av de risker som omfattas av standardformeln är S:t Erik Försäkring exponerat mot kategorierna teckningsrisker från skadeförsäkring och sjukförsäkring (liknande skadeförsäkring), marknadsrisker, motpartpartsrisker och operativa risker. Teckningsrisker från livförsäkring (inklusive sjukförsäkring liknande livförsäkring) eller risker i immateriella tillgångar förekommer ej. Utöver standardformelns riskkategorier är S:t Erik Försäkring exponerat för likviditetsrisker och affärsrisker. S:t Erik Försäkrings bedömning är att likviditetsriskerna är obetydliga. För de risker som omfattas av standardformeln bedöms inte något ytterligare kapital behöva avsättas, likaså krävs inget ytterligare kapital för S:t Erik Försäkrings affärsrisker. S:t Erik Försäkrings riskprofil visas i figur nedan efter fördelningen av respektive riskkategoris bidrag till solvenskapitalkravet per 31 december 2025 respektive 2024 utan hänsyn till diversifieringseffekter mellan riskkategorierna. Inga materiella förändringar av riskprofilen har skett under perioden. Detta beror snarare på regelverkstekniska effekter än på ökade risker. Se avsnitt E.2 för mer detaljer kring solvenskapitalkravets sammansättning. C.1 Teckningsrisk Teckningsrisken är S.t Erik Försäkrings största risk och härrör till största delen från skadeförsäkring och till resterande del från sjukförsäkring (från bolagets olycksfallsaffär). Teckningsrisken utgörs av premierisk, reservsättningsrisk och katastrofrisk. S:t Erik Försäkring är inte exponerat för annullationsrisk då Stockholms stad har en försäkringspolicy som anger att stadens samtliga försäkringslösningar antingen ska försäkras av bolaget eller tecknas med bolagets medverkan. S:t Erik Försäkrings teckningsrisker brutto, det vill säga före riskreducerande åtgärder, är i hög grad koncentrerade genom att samtliga risker är hänförliga till förvaltningar och bolag inom Stockholms kommun. Teckningsriskerna hanteras och begränsas genom bland annat skadeförebyggande arbete och villkorsutformning. Bolaget har genom sin ställning som captive god tillgång till information från försäkringstagarna och ett stort inflytande över deras riskhanteringsarbete. Om premierna över tid ändå är för låga (eller höga) finns goda möjligheter att justera dessa. 25 (37) Teckningsriskernas storlek och koncentrationen i dessa reduceras ytterligare genom köp av återförsäkring. S:t Erik Försäkrings återförsäkringsprogram placeras som huvudregel genom offentlig upphandling. Bolaget eftersträvar i sin upphandling att placera återförsäkringen hos flera olika återförsäkringsgivare och tillse att återförsäkringsavtalens betalningsvillkor överensstämmer med S:t Erik Försäkrings motsvarande skyldighet mot försäkringstagarna. Bolaget har i sina riktlinjer fastställt vilken nivå av teckningsrisker som kan accepteras per riskgrupp respektive totalt. S:t Erik Försäkring utför en riskbedömning för att säkerställa en försäkringslösning som begränsar bolaget risktagande. Effektiviteten av återförsäkringsskyddet följs av aktuarien och rapporteras årligen till styrelsen. Det övergripande återförsäkringsskyddet för S:t Erik Försäkring fastställs även årligen av styrelsen. Återförsäkringsprogram med självbehåll för 2022 visas i nedan tabell. Valda självbehåll begränsar risken per skada och i flera program finns en begränsning på totala skadekostnader under året (”stop loss”). De flesta återförsäkringsprogram, som tecknats separat per riskgrupp, har tecknats fördelat över ett antal olika återförsäkringsföretag. Tabell: Aktuella återförsäkringsprogram 2025 Återförsäkringsprogram Maximal risk per skada Maximal risk per år (Stop loss) (Självbehåll) (tkr) Egendom 15 000 120 000 Ansvar 10 000 10 000 Olycksfall 1 500 e.t. Terrorism 1 000 1 000 S:t Erik Försäkrings riskkänslighet för teckningsrisk undersöks som en del av bolagets ORSA-process. Slutsatsen är att även vid den osannolika händelse att skadekostnaderna ökar upp till stop loss-nivåerna i återförsäkringen flera år i rad så är bolagets kapitalisering likväl inom fastställda toleransnivåer. Materiella riskexponeringar under affärsplanens tidsperiod Bolaget utvärderar årligen självbehållsnivåer i syfte att bibehålla en rimlig riskexponeringen i direkt försäkringsaffär. För att säkerställa att S:t Erik försäkring köper rätt mängd återförsäkring, ska Estimated Maximum Loss (EML) bedömas för större enskilda försäkringsåtaganden eller kumuler. EML definieras som den maximala skada som vid en och samma skadehändelse bedöms kunna drabba ett försäkringsobjekt (eller flera objekt vid kumul). Med kumul avses risk för sådan skada som betingas av riskkoncentration, t.ex. genom att flera försäkringsobjekt ligger så nära varandra att försäkringsgivaren vid en och samma skadehändelse riskerar att drabbas av skada på flera sådana objekt. I nedanstående tabell, som årligen rapporteras visas bolagets 10 största åtaganden räknat i EML (mkr) per 2022 för de åtaganden där EML överstiger 100 mkr. 26 (37) Tabell: 10 största EML 2025 Mässhallen 1, Arenan 9, Grishuvudet 2 Eldkvarnen 1 har en begränsning, loss limit (ksek), på 2800000, 1600000, 1600000, 2000000. Identifierade framtida riskkoncentrationer Bolaget har ingen strategi att öka risknivån materiellt under affärsplaneringens tidperiod. C.2 Marknadsrisk och aktsamma investeringar S:t Erik Försäkrings exponering för marknadsrisk är mycket liten och består uteslutande av begränsade ränterisker. Bolaget placerar uteslutande tillgångarna på koncernkonto med rörlig ränta i Stockholms stad, alla övriga risker förutom ränterisken i dessa tillgångar hänförs till motpartsrisk, se avsnitt C.3. Nedan framgår bolagets placeringstillgångar per 31 december 2025. Dessa har investerats aktsamt då de är placerade på Stockholms stads koncernkonto eller utlånade till Stockholms stad. Utfall Budget Prognos Tillgångsslag 2024-12-31 2025-12-31 2026-12-31 2027-12-31 2028-12-30 2029-12-30 (tkr) Koncernkonto 446 570 416 473 414 973 412 139 412 933 413 727 Ränteriskernas storlek beror på matchningen mellan räntebindningstiden i tillgångarna och förväntad löptid på försäkringsskulden. Genom att räntebindningen på koncernkontot är mycket kort och S:t Erik Försäkrings försäkringsaffär i huvudsak är kortsvansad är ränteriskerna små i förhållande till bolagets totala kapitalkrav. C.3 Kreditrisk S:t Erik Försäkrings exponering för kreditrisk utgörs av motpartsrisk på grund av återförsäkrare, samt vissa andra fordringar (vilka utgör mindre än en procent av motpartsrisken). S:t Erik Försäkrings exponering inom motpartsrisk från tillgångar på koncernkonto hos Stockholms stad bedöms inte inom bolaget medföra någon betydande risk genom motpartens mycket goda finansiella styrka. Dessa tillgångar är även enligt regelverket undantagna från att bidra till solvenskapitalkravet. Motpartsriskerna från avgiven återförsäkring begränsas genom att återförsäkring endast tecknas hos återförsäkrare som har en rating om minst A- enligt Standard & Poor´s klassificering eller motsvarande från ett annat ratinginstitut, alternativt om rating saknas så ska motparten ha en solvenskapitalkvot om minst 175 procent. Kreditvärdigheten hos återförsäkrare följs regelbundet av verksamheten, kontrolleras av riskhanteringsfunktionen och återrapporteras till styrelsen. Nedan tabell visar 2025 års återförsäkringsmotparter. 27 (37) Tabell: Återförsäkringsmotparter 2023 Program Återförsäkrare Andel Andel Share/total- EGENDOM Rating Layer 1 Layer 2 premie (%) Mäklades av AON Vienna Insurance Group AG Wiener Versicherung Gruppe - Fil Sweden A+ 10 1,0% Pohjola Insurance Ltd A+ 13 10 12,7% Mäklades av Guy Carpenter Triglav Re A+ 2,5 2,4% Sava Re A+ 2,5 2,4% Arch Re Underwriting ApS on Behalf of Arch Reinsurance Europe Underwriting DAC, Dublin AA- 7 0,8% VIG Re A+ 3 0,3% Swiss Re International, filial av Swiss Re International SE AA- 20 20 18,9% Hannover Re AA- 20 10 18,9% AIG Europe S.A. Filial i Sverige AA- 17 17,5% Zurich Insurance plc - Sweden Branch AA 15 40 16,5% Swiss Re Europe S.A., organizačná zložka Slovensko AA- 10 8,6% Share/total- TERROR Rating Andel premie (%) Mäklades av Aon Sweden AB Talbot (TAL 1183) A 12,5 12,5 12,5% AXA XL (2003) AA- 7,5 7,5 7,5% Liberty 4472 - Lead AA- 15 15 15,0% Liberty (4472) AA- 3,75 3,75 3,8% Chaucer (CSL 1084) AA- 0 0 0,0% QBE (COF 1036) AA- 4 4 4,0% AXIS (AXS 1686) AA- 9 9 9,0% Brit (BRT 2987) AA- 5 5 5,0% KI (1618) AA- 1,75 1,75 1,8% Hamilton (4000) AA- 3,5 3,5 3,5% Arch (AAL 2012) / (1955) AA- 15 15 15,0% Cathedral (0310) AA- 4 4 4,0% Beazley (5623) AA- 1,25 1,25 1,3% Amlin 2001 AA- 5 5 5,0% Westfield (1200) AA- 2,75 2,75 2,8% Markel (3000) AA- 5 5 5,0% TMK (0510) AA- 5 5 5,0% Andel Andel Share/total- ANSVAR Rating Layer 1 Layer 2 premie (%) Mäklades av Aon HDI Global SE, Denmark Branch AA- 100 83,0% Mäklades av Howden VIG RE zajišťovna, a.s. A+ 40 5,9% Mäklades av Guy Carpenter QBE Europé SA/NV AA- 37,5 6,9% VIG (Vienna Insurance Group) A+ 22,5 4,1% Share/total- OLYCKSFALL Rating Andel premie (%) Howden Aviva Insurance Limited AA- 100 100,0% Koncentrationsriskerna från avgiven återförsäkring hanteras genom att upphandlingen utformas så att en god fördelning av motparter uppnås. Vidare har S:t Erik Försäkring enligt 28 (37) återförsäkringsavtalet möjlighet att begära ersättning inom 30 dagar när större skador har inträffat, genom så kallade ”cash calls”. S:t Erik Försäkrings riskkänslighet för motpartsrisk undersöks som en del av S:t Erik Försäkrings ORSA-process, även vid den händelse att ratingen för samtliga återförsäkrare sänktes betydligt är utfallet i fråga om S:t Erik Försäkrings kapitalisering är väl inom av styrelsen satta ramar. Bidraget till solvenskapitalkravet från motpartsrisken i avgiven återförsäkring har minskat, se vidare avsnitt E.2. Återförsäkrares andel av försäkringstekniska avsättningar har minskat från 35 745 tkr per 31 december 2024 till 18 894 tkr per 31 december 2025. Motpartsrisken beror även på återförsäkringsavtalens riskreducerande effekt, koncentrationer mellan motparter och deras kreditvärdighet. Materiella riskexponeringar under affärsplanens tidsperiod Bolaget avser inte att förändra riskstyrning i placeringsriktlinjer avseende motpartsrisk, inte heller bedöms verksamhetens risker på området till följd av utvecklingen under affärsplanen förändras materiellt. Identifierade framtida riskkoncentrationer Beslut om självbehåll tas årligen utifrån de förutsättningar som råder vid detta tillfälle. Bolaget har inte en långsiktig strategi för att systematiskt öka självbehållsnivån. Vidare så finns inte någon strategi att öka risknivån i portföljen genom att till exempel öka innehavet i enskilda emittenter med låg kreditrating C.4 Likviditetsrisk Likviditetsrisk ingår inte i standardformelns beräkning av solvenskapitalkravet. S:t Erik Försäkring bedömer likviditetsrisken minst årligen i samband med genomgången av S:t Erik Försäkrings samtliga risker inom styrelsens ORSA-process. Likviditetsrisken har bedömts som låg. S:t Erik Försäkrings samtliga förvaltningstillgångar är per 31 december 2025 omedelbart tillgängliga genom att de är placerade på koncernkonto. Enligt försäkringsvillkoren har S:t Erik Försäkring 30 dagar på sig att betala skadekostnaderna gentemot kunderna vilket även motsvarar den tid återförsäkrarna har på sig att betala cash calls. Det finns även en betalningsklausul i S:t Erik Försäkrings avtal med dess återförsäkrare som anger att återförsäkrare ska betala direkt till försäkringstagaren så att inte S:t Erik Försäkring behöver skjuta till medel för den del av skadan som överstiger självbehållet. S:t Erik Försäkrings meddelade försäkringar löper årsvis med full premiebetalning i början av perioden. Därmed ingår ingen förväntad vinst från framtida premier i S:t Erik Försäkrings kapitalbas. C.5 Operativ risk Operativ risk kan aldrig till fullo undvikas och ofta är kostnaden för ytterligare reducering betydande. Operativa risker är som huvudregel att betrakta som nödvändiga risker som bolaget eftersträvar att hålla på en begränsad nivå och där ytterligare riskreducering genomförs där det är kostnadseffektivt. För operativa risker relaterade till säkerhet, hälsa, personlig integritet, regelefterlevnad samt felaktig skadereglering som drabbar enskilda personer är bolagets inställning att de är icke önskvärda och därför ska minimeras så långt det är möjligt och ekonomiskt försvarbart. 29 (37) Operativa risker ska identifieras genom att riskanalyser genomförs inom alla verksamhetsområden. Riskanalyser ska genomföras vid väsentligt förändrad verksamhet och annars minst vartannat år. Inträffade incidenter inom riskområdet och status för planerade åtgärder relativt de största identifierade operativa riskerna följs löpande under året och återrapporteras av riskhanteringsfunktionen till styrelsen. Risknivån bedöms i både absoluta termer och relativt S:t Erik Försäkrings storlek som låg. IKT-risk och säkerhetsrisk som en delkomponent i operativ risk är risk för förlust som beror på brott mot konfidentialiteten, på att integriteten hos system och data inte fungerar, på att system och data är olämpliga eller otillgängliga, eller på oförmåga att ändra på IKT:n inom rimlig tid och till rimliga kostnader när miljö eller verksamhetskraven förändras (dvs. flexibilitet). Detta inkluderar cyberrisker och informationssäkerhetsrisker till följd av otillräckliga eller icke-funktionella interna processer eller externa händelser, däribland cyberattacker eller otillräcklig fysisk säkerhet. Bolaget har en rad interna policyer och riktlinjer som på ett eller annat sätt berör IKT. Bolaget är ansluten till flera tjänster och IKT-tillgångar som upphandlats genom Stockholm Stad. Därvid finns flertalet riktlinjer som behandlar olika typer av frågor rörande IKT och informationssäkerhet som är producerade av Stockholm Stad vilka också ska efterlevas av Bolaget. Dessa kan i sin tur ha påverkan på Bolagets arbete kring informationssäkerhet och IKT-strategi. Det har inte skett några väsentliga förändringar i riskexponeringen för IKT risker under rapporteringsperioden. C.6 Övriga materiella risker S:t Erik Försäkrings ställning som captivebolag till Stockholms stads förvaltningar och bolag innebär att affärsrisker i allt väsentligt är begränsade. I affärsrisker ingår intjäningsrisker, ryktesrisker och strategiska risker. En av de övriga materiella riskerna som har identifierats är relaterad till ryktesrisk där ett försämrat rykte för S:t Erik Försäkring på återförsäkringsmarknaden riskerar innebära väsentligt högre återförsäkringspremier. Denna risk hanteras genom ett transparent upphandlingsförfarande för återförsäkring och genom en låg tolerans för vidlyftiga ersättningar till försäkringstagarna på återförsäkrarnas bekostnad. S:t Erik Försäkring som captive inom Stockholms stad med tillhörande kommunala bolag är exponerade mot de underliggande klimatrisker genom försäkringsavtalen med staden. Bolagets klimatrelaterade risker är bedömda som materiella, särskilt fysiska risker bedöms höga. Effekten av dessa risker är svårbedömd på grund av klimatets och försäkringsaffärens komplexitet, osäkerheten i denna kvalitativa analys är hög. Bland de identifierade materiella klimatrelaterade riskerna kan nämnas stigande vattennivå i Östersjön samt översvämning till följd av omfattande nederbörd. Eventuella skador kan visas som skador på stadens egendom men även som skadestånd relaterat till stadens verksamhet. Det centrala verktyget från bolaget för hanteringen av stora skadekostnader är utformningen av villkor i försäkrings-och återförsäkringsavtal, stora skador i det korta perspektivet begränsas med stop-loss återförsäkring. 30 (37) C.7 Övrig information C.7.1 Säkerheter, lån mm Bolaget varken säljer, innehar eller pantsätter några säkerheter. Bolaget har inte några värdepapperslån, återköpsavtal eller omvända repor. Bolaget säljer inte fondanknutna livräntor. C.7.2 Riskreduceringstekniker Inga riskreduceringstekniker utöver de som är på plats i dagsläget och beskrivs i föregående avsnitt planeras att köpas in under tidsperioden för aktuell affärsplan. C.7.3 Stresstester Bolagets stresstester framgår av bolagets ORSA. 31 (37) D. Värdering för solvensändamål D.1 Tillgångar All information kring S:t Erik Försäkrings värdering och i balansräkningen ingående poster har redovisats i rapporten om solvens och finansiell ställning. D.2 Försäkringstekniska avsättningar D.2.1 Bästa skattning S:t Erik Försäkring tillämpar antaganden om kassaflödesprofiler grundade i huvudsak på S:t Erik Försäkrings egna historiska data. För beräkning av reserver för inträffade men ej rapporterade skador (IBNR) tillämpar S:t Erik Försäkring en enkel chain-ladder metod vars antaganden om utvecklingsfaktorer grundas på S:t Erik Försäkrings egna historiska data (för en mindre del av portföljen, som är liten i sammanhanget, används data från en närliggande portfölj på marknaden då tillräcklig historisk information i den egna portföljen ej föreligger). Metoden är väl etablerad, förståelig för externa bedömare, lätt att verifiera och omfånget av beräkningar proportionerligt. S:t Erik Försäkring har beräknat sin premiereserv till 0 kr då inga avtal med kvarstående löptid fanns per 2025-12-31. Med hjälp av historiska bolagsspecifika data har avsättningarna tilldelats ett avvecklingsmönster och har diskonterats med EIOPA:s riskfria ränta. Data som används i beräkningarna bedöms i sig som tillräckliga och av godtagbar kvalitet. Aktuariefunktionen bedömer att bolaget även fortsättningsvis fortlöpande uppfyller kraven för beräkningen av de försäkringstekniska avsättningarna, under beaktande av verksamhetens omfång, komplexitet och art. D.2.2 Riskmarginal S:t Erik Försäkring har beräknat sin riskmarginal i enlighet med metod 3 (EIOPA 14/166 p.1.113.). Riskmarginalen beräknas genom att använda den modifierade durationen på S:t Erik Försäkrings avsättningar, S:t Erik Försäkrings SCR vid t=0 och kapitalkostnadsräntan på 6 %. Riskmarginalen uppgår till 7 137 tkr (7 345 tkr). D.2.3 Skillnad mot legala redovisningen I den legala redovisningen (lagbegränsad IFRS) består FTA av odiskonterade avsättningar avseende skadereserver, redan inträffade fastställda skadereserver samt en statistisk skadereserv (IBNR). Enligt Solvens II består FTA av ovan beskrivna skade- och premiereserver samt en riskmarginal. FTA enligt redovisningen uppgår till 99 311 tkr (163 038 tkr). FTA enligt solvens 2 är 100 150 tkr (164 122 tkr) och skillnaden mot den legala således 839 tkr (1 084 tkr). 32 (37) FTA per försäkringsgren värderat enligt Solvens II är enligt nedan: • LoB 2 Olycksfall 42 978 tkr (44 915tkr) • LoB 7 Egendom 48 769 tkr (102 003 tkr) • LoB 8 Ansvar 8 403 tkr (17 204 tkr) D.3 Andra skulder S:t Erik Försäkrings andra skulder vid värderingstidpunkten framgår av nedanstående tabell. Lagstadgade Andra skulder 2025-12-31 (tkr) Solvens II räkenskaper Skillnad Skulder (leverantörsskulder, inte försäkring) 1 885 1 885 0 Övriga skulder som inte visas någon annanstans 6 404 6 404 0 8 289 8 289 0 D.4 Alternativa värderingsmetoder Lån S:t Erik Försäkrings lån till Stockholms stad i form av koncernkonto (cash pool), 416 473 tkr (446 570), är värderat enligt upplupet anskaffningsvärde. Tillgången är dock placerad på en kort löptid (löpande) och värderingen vid balansdagen är densamma som S:t Erik Försäkring anser att en köpare skulle betala för tillgången (alternativa kostnadsmetoden), så någon omvärderingseffekt föreligger inte. Fordringar enligt återförsäkringsavtal Omvärderingen av S:t Erik Försäkrings poster för återförsäkrares andel av skadereserv och återförsäkrares andel av premiereserv, totalt 23 042 tkr (35 745), är genomförd med hjälp av historiska bolagsspecifika kassaflöden och en fastställd riskfri ränta och är utförda av S:t Erik Försäkrings aktuarie. Odiskonterade värden för premieavsättningarna har vid årsskiftet värderats till 0 kr (0) och skadeavsättningar har värderats till 18 894 tkr (36 166). Fordringarna enligt återförsäkringsavtal minskar med 2 472 tkr (421) i solvensvärderingen gentemot den legala bokföringen. Kundfordringar (ej försäkring) S:t Erik Försäkrings finansiella tillgångar har generellt sett kort löptid vilket medför att bokfört värde är en god approximation av verkligt värde. D.5 Övrig information D.5.1 Allmänt Ingen väsentlig övrig information föreligger. D.5.2 Framtida förvaltningsåtgärder Bolaget har inte några planer på att materiellt förändra sin verksamhet eller att placera tillgångarna på annat sätt än det nuvarande, ej heller att ändra beräkningsmetoder. 33 (37) D.5.3 Försäkringstagarnas beteende Bolaget är ett captive där ägarna försäkrar sin egendom. Ägarna (försäkringstagarna) har inte aviserat några planer på att förändra försäkringsstrukturen. E. Finansiering Bolagets kapitalbas har ökat under perioden och solvenskapitalkravet har minskat, se tabell nedan. Samlad effekt är att solvenskapitalkvoten har ökat från 371 procent per 31 december 2024 till 471 procent per 31 december 2025. Tabell: Kapitaliseringsmått Kapitaliseringsmått (tkr) 2025-12-31 2024-12-31 Solvenskapitalkrav (SCR) 70 989 85 026 Minimikapitalkrav (MCR) 43 700 46 523 Tillgänglig kapitalbas 334 671 315 639 Medräkningsbar kapitalbas SCR 334 671 315 639 Medräkningsbar kapitalbas MCR 334 671 315 639 SCR-kvot 4,71 3,71 MCR-kvot 7,66 6,78 E.1 Kapitalbas E.1.1 Struktur, storlek och kvalité S:t Erik Försäkring har primärkapital, nivå 1. Rapporterad SCR-kvot per 31 december 2025 är 471% att relatera till lagkravet om minst 100% och den interna toleransnivån om minst 150%. SCR-kvoten vid föregående period var 371%. S:t Erik Försäkrings SCR-kvot under planeringshorisonten (till och med 2026) vid en utveckling enligt affärsplanen förväntas ligga stabilt på drygt 300%. I samtliga stressade scenarier undantaget det mest negativa har SCR-kvoten goda marginaler till den interna toleransnivån om 150%. I det mest negativa som nära nog är ett extremscenario med fleråriga stora förluster och därtill något ökade kapitalkrav är SCR-kvoten 82% vid utgången av 2026 förutsatt att inga åtgärder vidtas under perioden. Nivå 1 S:t Erik Försäkrings aktiekapital har inga begränsningar och är i enlighet med SII- förordningen klassat som primärkapital nivå 1 (artikel 69 a-i). Posten finns med i förteckningen (artikel 69) och uppfyller särdragen som specificeras i artikel 71 och främst är det ett inbetalt stamaktiekapital och den prioriteras efter alla andra fordringar i händelse av likvidationsförfaranden för S:t Erik Försäkring. S:t Erik Försäkring har full flexibilitet i fråga om utskiftning (det finns inga begränsningar i hur utskifte skall ske). Ägaren är Stockholm Stadshus AB och aktiekapitalet består av 100 000 A-aktier till ett värde av 100 000 tkr. 34 (37) Avstämningsreserven motsvarar den sammanlagda skillnaden mellan tillgångar och skulder minskat med aktiekapital enligt ovan. I enlighet med punkt 1.5 i Riktlinjer för klassificering av kapitalbasen (14/168) ska balanserade vinstmedel vara en del av avstämningsreserven. Utöver detta ska även förutsebara utdelningar, utskiftningar och avgifter reduceras från posten. S:t Erik Försäkring säkerhetsreserv enligt redovisningen är en del av avstämningsreserven i kapitalbasen. S:t Erik Försäkring har gjort bedömningen att säkerhetsreserven inte kommer att behöva upplösas under det närmast kommande verksamhetsåret och justering har därför inte skett för uppskjuten skatt. S:t Erik Försäkring har inte förutsett en utdelning av balanserade vinstmedel och därför inte justerat avstämningsreserven. S:t Erik Försäkrings avstämningsreserv utgörs av poster enligt nedan tabell. Avstämningsreserv (tkr) 2025-12-31 2024-12-31 Reservfond 5 900 5 900 Balanserade vinstmedel 138 766 125 978 Årets resultat 26 373 12 788 Säkerhetsreserv 64 747 72 479 Effekt av omvärdering enligt avsnitt D. 1 115 1 506 234 671 215 639 E.1.2 Medräkningsbarhet SCR och MCR Då S:t Erik Försäkrings vinster har balanserats i ny räkning S:t Erik Försäkrings medräkningsbara kapital förändrats som följer: Medräkningsbar kapitalbas för att täcka SCR (tkr) 2025-12-31 2024-12-31 Nivå 1 - Aktiekapital 100 000 100 000 Nivå 1 - Avstämningsreserv 234 671 215 639 Nivå 2 - Garanti från moderbolag. 0 0 334 671 315 639 Medräkningsbar kapitalbas för att täcka MCR (tkr) 2025-12-31 2024-12-31 Nivå 1 - Aktiekapital 100 000 100 000 Nivå 1 - Avstämningsreserv 234 671 215 639 334 671 315 639 E.1.3 Förväntad utveckling av kapitalbasen S:t Erik Försäkring har en treårsplan som även redovisas i S:t Erik Försäkrings ORSA. S:t Erik Försäkrings kapitalbas förväntas öka något över tid. S:t Erik Försäkrings SCR-kvot väl överstiga såväl lagkrav (100%) som den nivå som satts av styrelsen (150%). S:t Erik Försäkrings har inte för avsikt att inlösa någon post i kapitalbasen. Den förväntade utvecklingen är som följer (tkr): 35 (37) Balansräkning Budget Budget Budget Budget 2026 2027 2028 2029 Kapitalbas 317 939 345 105 345 899 346 693 E.1.4 Övergångsregler S:t Erik Försäkring har inte några kapitalbasposter som omfattas av övergångsreglerna. E.1.5 Utdelningar S:t Erik Försäkring har inte för avsikt att göra några utdelningar avseende 2025 års resultat. E.2 Solvenskapitalkrav och minimikapitalkrav Minimikapitalkravet ändrats till följd av ökat garantibelopp under perioden. Totalt SCR har ökat sedan föregående år vilket i allt väsentligt beror på att kapitalkravet för marknadsrisk, motpartsrisk och teckningsrisk har ökat. Ökningen i marknadsrisk beror på det förändrade ränteläget i omvärlden vilket ökar bidraget från ränterisk materiellt. Ökningen inom motpartsrisk och teckningsrisk beror på ökade skadereserver för egen räkning samt förbättrat statistikunderlag som inneburit ökad tecknings- och motpartsrisk för olycksfallsförsäkringen. S:t Erik Försäkrings kapitalkrav under affärsplaneringens tidsperiod redovisas i tabell nedan med jämförelse med utfallet per 31 december 2025 samt med budget och prognoser för 2026- 2029. Under affärsplaneringens tidsperiod förväntas inga materiella förändringar i riskprofilen och SCR 2026-2029 är därav konstant. Tabell: Solvenskapitalkrav Solvenskapitalkrav (tkr) 2025-12-31 2026-12-31 2027-12-31 2028-12-21 2029-12-21 Grundläggande SCR Marknadsrisk 2 289 2 289 2 289 2 289 2 289 Motpartsrisk 20 245 20 245 20 245 20 245 20 245 Teckningsrisk från sjukförsäkring 20 519 20 519 20 519 20 519 20 519 Teckningsrisk från skadeförsäkring 46 696 46 696 46 696 46 696 46 696 Diversifiering -24 406 -24 406 -24 406 -24 406 -24 406 Grundläggande SCR 65 344 65 344 65 344 65 344 65 344 Operativ risk 5 645 5 658 5 828 6 003 6 183 Solvenskapitalkrav (SCR) 70 989 70 989 70 989 70 989 70 989 Inga väsentliga förändringar i underliggande resultat i fråga om MCR har skett under 2025 och förväntas inte ske under affärsplaneringens tidsperiod. 36 (37) E.3 Användning av undergruppen för durationsbaserad aktiekursrisk vid beräkning av solvenskapitalkravet S:t Erik Försäkring använder inte metoden för durationsbaserad aktiekursrisk. S:t Erik Försäkring innehar överhuvudtaget inte några aktier. E.4 Skillnader mellan standardformalen och använda interna modeller S:t Erik Försäkring har ingen intern modell. E.5 Överträdelse av minimikapitalkravet och solvenskapitalkravet Inga överträdelser har inträffat. E.6 Övrig information om finansiering S:t Erik Försäkring har inte någon övrig materiell information avseende finansiering att redovisa. 37 (37) --- [SFCR 2026.pdf] RAPPORT OM SOLVENS OCH FINANSIELL STÄLLNING S:T ERIK FÖRSÄKRING FASTSTÄLLD AV STYRELSEN 2026-03-27 SAMMANFATTNING ......................................................................................................................................... 4 A. VERKSAMHET OCH RESULTAT .......................................................................................................... 5 A.1 Verksamhet .................................................................................................................. 5 A.1.1 S:t Erik Försäkrings namn och juridiska form ..................................................... 5 A.1.2 Tillsynsmyndighet ................................................................................................ 5 A.1.3 Extern revisor ....................................................................................................... 5 A.1.4 Ägare .................................................................................................................... 5 A.1.5 Grupp .................................................................................................................... 5 A.1.6 Försäkringsklasser och geografiskt verksamhetsområde ..................................... 6 A.1.7 Betydande affärshändelser eller andra händelser under perioden ........................ 6 A.2 Försäkringsresultat ....................................................................................................... 6 A.3 Investeringsresultat ...................................................................................................... 7 A.4 Resultat från övriga verksamheter ............................................................................... 7 A.5 Övrig information ........................................................................................................ 7 B. FÖRETAGSSTYRNINGSSYSTEM .......................................................................................................... 8 B.1 Allmän information om företagsstyrningssystemet ..................................................... 8 B.1.1 Struktur ................................................................................................................. 8 B.1.2 Ansvar .................................................................................................................. 8 B.1.3 Materiella ändringar under rapporteringsperioden ............................................. 10 B.1.4 Styrdokument för ersättning m.m. ...................................................................... 10 B.1.5 Materiella transaktioner med aktieägare, personer med betydande inflytande, styrelse, VD och ledning. ................................................................................................. 10 B.2 Lämplighetskrav ........................................................................................................ 10 B.2.1 Allmänt ............................................................................................................... 10 B.2.2 Krav .................................................................................................................... 11 B.2.3 Process för bedömning av kvalifikationer och lämplighet ................................. 12 B.3 Riskhanteringssystem inklusive egen risk- och solvensbedömning .......................... 14 B.3.1 Riskhanteringssystemets uppbyggnad och integrering i verksamheten ............. 14 B.3.2 Egen risk- och solvensbedömning ...................................................................... 15 B.4 Internkontrollsystem .................................................................................................. 16 B.4.1 Struktur ............................................................................................................... 16 B.4.2 Fördelning av ansvar .......................................................................................... 16 B.4.3 Dualitet ............................................................................................................... 17 B.4.4 Uppföljning ........................................................................................................ 17 B.4.5 Systeminformation ............................................................................................. 17 B.4.6 Rapportering ....................................................................................................... 17 B.5 Internrevisionsfunktion .............................................................................................. 18 B.5.1 Internrevisionens integrering i verksamheten .................................................... 18 B.5.2 Internrevisionens oberoende............................................................................... 18 B.6 Aktuariefunktion ........................................................................................................ 19 B.7 Uppdragsavtal ............................................................................................................ 19 B.8 Övrig information ...................................................................................................... 20 C. RISKPROFIL ............................................................................................................................................ 21 C.1 Teckningsrisk ............................................................................................................. 22 C.2 Marknadsrisk ............................................................................................................. 23 C.3 Kreditrisk ................................................................................................................... 23 2 (63) C.4 Likviditetsrisk ............................................................................................................ 23 C.5 Operativ risk .............................................................................................................. 24 C.6 Övriga materiella risker ............................................................................................. 24 C.7 Övrig information ...................................................................................................... 25 D. VÄRDERING FÖR SOLVENSÄNDAMÅL ........................................................................................... 25 D.1 Tillgångar ................................................................................................................... 25 D.1.1 Lån ...................................................................................................................... 25 D.1.2 Fordringar enligt återförsäkringsavtal ................................................................ 25 D.1.3 Fordringar, ej försäkring (kundfordringar) ......................................................... 26 D.1.4 Övriga tillgångar ................................................................................................ 26 D.2 Försäkringstekniska avsättningar .............................................................................. 26 D.2.1 Bästa skattning ................................................................................................... 26 D.2.2 Riskmarginal ...................................................................................................... 27 D.2.3 Skillnad mot legala redovisningen ..................................................................... 27 D.3 Andra skulder ............................................................................................................ 27 D.3.1 Leverantörsskulder ............................................................................................. 27 D.3.2 Övriga skulder .................................................................................................... 28 D.4 Alternativa värderingsmetoder .................................................................................. 28 D.5 Övrig information ...................................................................................................... 28 E. FINANSIERING........................................................................................................................................ 28 E.1 Kapitalbas .................................................................................................................. 28 E.1.1 Mål ..................................................................................................................... 28 E.1.2 Principer ............................................................................................................. 28 E.1.3 Processer ............................................................................................................. 29 E.1.4 Struktur, storlek och kvalité ............................................................................... 30 E.1.5 Medräkningsbar kapitalbas för att täcka SCR och MCR ................................... 31 E.2 Solvenskapitalkrav och minimikapitalkrav ............................................................... 31 E.3 Durationsbaserad aktiekursrisk .................................................................................. 32 E.4 Skillnader mellan standardformalen och använda interna modeller.......................... 32 E.5 Överträdelse av minimikapitalkravet och solvenskapitalkravet ................................ 32 E.6 Övrig information om S:t Erik Försäkrings finansiering ........................................... 32 BILAGOR TILL SFCR-RAPPORT; QRT ...................................................................................................... 32 3 (63) Sammanfattning S:t Erik Försäkrings AB ägs till 100% av Stockholms Stadshus AB, som i sin tur är helägt av Stockholms stad. Under 2025 bedrev S:t Erik Försäkring direktförsäkringsverksamhet för Stockholms stads förvaltningar och närstående bolag inom områdena egendom, ansvar och olycksfall. Övriga försäkringar som kommunkoncernen har behov av har S:t Erik Försäkring upphandlat av externa försäkringsgivare, till exempel VDS och motorfordonsförsäkring. Den nuvarande rollen för S:t Erik Försäkrings AB inom kommunkoncernen förväntas vara i stort oförändrad. S:t Erik Försäkring kommer att fokusera på att assistera sina kunder i att identifiera risker i verksamheten, informera om hur skador kan förebyggas, samt vid behov teckna försäkring. S:t Erik Försäkring har även uppdraget att driva stadens gemensamma incidentrapporteringssystem. S:t Erik Försäkrings solvenskapitalkrav (SCR) uppgår till per 31 december 2025 till 70 989 tkr (85 026 tkr) och kapitalbasen för att täcka SCR till 334 671 tkr (315 639 tkr), vilket innebär en solvenskvot om 471% (371%) att relatera till minst 100% enligt lag och minst 150% enligt internt fastställd toleransnivå. S:t Erik Försäkring använder standardformeln för att beräkna SCR. Av de risker som omfattas av standardformeln är S:t Erik Försäkring exponerat mot kategorierna teckningsrisker från skadeförsäkring och sjukförsäkring (liknande skadeförsäkring), marknadsrisker, motpartpartsrisker och operativa risker. Utöver standardformelns riskkategorier är S:t Erik Försäkring exponerat för likviditetsrisker och affärsrisker. Exponeringarna mot likviditets- och marknadsrisker är mycket små. Inget ytterligare kapital utöver det som resulterar från standardformeln har bedömts krävas. S:t Erik Försäkrings teckningsrisker begränsas genom köp av återförsäkring hos väletablerade återförsäkrings- och försäkringsbolag. Marknads- och motpartsriskerna begränsas genom att samtliga tillgångar placerats hos Stockholms stads koncernkonto och genom krav på god finansiell styrka hos återförsäkrare. S:t Erik Försäkrings samtliga förvaltningstillgångar är per 31 december 2026 omedelbart tillgängliga genom att de är placerade på koncernkonto. S:t Erik Försäkrings senaste ORSA fastställdes av styrelsen vid styrelsemöte 2026-03-13 och tillsynsrapporten för denna skickades in till Finansinspektionen 2026-03-16. S:t Erik Försäkring har i övrigt, under perioden, inte förändrat verksamhet, företagsstyrnings- system, riskprofil eller värderingsmetoder. 4 (63) A. Verksamhet och resultat A.1 Verksamhet A.1.1 S:t Erik Försäkrings namn och juridiska form S:t Erik Försäkrings AB, 516401-7948. Benny Fredrikssons torg 1 Box 16 179 103 24 Stockholm A.1.2 Tillsynsmyndighet Finansinspektionen Brunnsgatan 3 Box 7821 103 97 Stockholm 08-408 980 00 (Växel) A.1.3 Extern revisor Ernst & Young AB, 556053-5873 Carl Rudin ansvarig revisor Hamngatan 26 Box 7850 103 99 Stockholm 076-126 49 25 A.1.4 Ägare S:t Erik Försäkring ägs till 100% av Stockholms Stadshus AB. Stockholms Stadshus AB, 556415-1727, 105 35 Stockholm Tele: 08-508 290 00 (växel) Stockholms Stadshus AB är sedan 1991 moderbolag i en koncern som f.n. består av 16 aktiva dotterbolag, ett vilande bolag och ett intressebolag. Mer än hälften av bolagen har i sin tur egna dotterbolag. Stockholms Stadshus AB ägs av Stockholms stad (Stockholms kommun) och utövar ägarstyrning för och samordning mellan större delen av stadens aktiebolag. Tillsammans med stadens nämnder utgör dessa kommunkoncernen. Bolagen bedriver kommunal verksamhet genom att erbjuda och leverera service och tjänster åt stadens invånare; alltifrån bostäder, vattenförsörjning, skolbyggnader, hamnanläggningar och parkeringsverksamhet till turistinformation och kulturutbud. A.1.5 Grupp S:t Erik Försäkring utgör tillsammans med Stockholms Stadshus AB en grupp enligt 19 kap. 2§ sista stycket Försäkringsrörelselagen. Stockholms Stadshus AB är således ett försäkrings- holdingföretag med blandad verksamhet. S:t Erik Försäkring ska därmed rapportera väsentliga transaktioner med moderbolaget och anknutna bolag (senaste beslut FI 24-32203). 5 (63) A.1.6 Försäkringsklasser och geografiskt verksamhetsområde S:t Erik Försäkrings har tillstånd för och bedriver verksamhet inom Sverige avseende följande skadeförsäkringsklasser: 1. Olycksfall 2. Sjukdom 7. Godstransport 8. Brand och naturkrafter 9. Annan sakskada 13. Allmän ansvarighet 16. Annan förmögenhetsskada Tillståndet gäller både direkt och indirekt försäkring, men verksamheten bedrivs endast genom tecknande av direkt försäkring. Därtill har S:t Erik Försäkring tillstånd att teckna indirekt försäkring inom livförsäkringsklasserna Ia. Livförsäkring och Ib. Tillägg till livförsäkring men verksamhet enligt de tillstånden bedrivs ej. Förpliktelserna från S:t Erik Försäkrings tecknade försäkringar klassificeras inom följande försäkringsgrenar (Lines of Business, LoB): • Olycksfall (LoB 2) • Egendom (LoB 7) • Ansvar (LoB 8) A.1.7 Betydande affärshändelser eller andra händelser under perioden Under rapporteringsperioden har inte några betydande händelser som haft väsentlig inverkan på S:t Erik Försäkring inträffat. A.2 Försäkringsresultat S:t Erik Försäkring har under året haft ett positivt försäkringsresultat. Premieintäkten, före avgiven återförsäkring, har ökat jämfört med föregående år till 188 161 tkr (183 927). Försäkringsrörelsens tekniska resultat uppgick till 18 304 tkr (37 630). Resultatet före bokslutsdispositioner och skatt uppgick till 26 014 tkr (44 931). Årets driftskostnader uppgick till 27 843 tkr (30 881). Den totala kapitalavkastningen uppgick till 10 147 tkr (11 180). Resultatet för 2025 är påverkat av en upplösning till säkerhetsreserven med 7 732 tkr (avsättning -28 322). Inträffade och registrerade skador har resulterat i skadeutbetalningar uppgående till 137 444 tkr (97 137). Återförsäkrarnas andel av utbetalda skadeersättningar uppgår till 24 303 tkr (-4). Utfall 2025 jämfört med utfall 2024 per försäkringsklass framgår av nedanstående tabell. 6 (63) Egendom Ansvar Olycksfall Totalt (tkr) 2025 2024 2025 2024 2025 2024 2025 2024 Premieintäkter (f.e.r.) 89 148 86 127 4 911 4 818 16 336 16 312 110 395 107 257 1 968 3 114 108 174 361 590 2 437 3 879 Kapitalavkastning överförd från finansrörelsen - 43 956 -41 203 -2 393 - 2 762 -20 337 1 340 -66 686 - 42 624 Försäkringsersättningar (f.e.r.) Driftskostnader -22 484 - 24 797 -1 239 -1 387 -4 120 -4 696 -27 843 -30 881 23 241 23 241 844 844 13 546 13 546 18 304 37 360 Försäkringsrörelsens tekniska resultat 1f.e.r. – för egen räkning, d.v.s. nettot efter återförsäkrare erhållit premier respektive betalat ersättningar. A.3 Investeringsresultat S:t Erik Försäkrings investeringsresultat utgörs av ränteintäkter enligt nedanstående tabell. Investeringsresultat (tkr) 2025 2024 Övriga ränteintäkter 10 147 11 180 Totalt 10 147 11 180 S:t Erik Försäkrings placeringstillgångar har uteslutande bestått av medel på koncernkonto i Stockholms stad. S:t Erik Försäkring har alltså inte deltagit i någon värdepapperisering. Allt investeringsresultat inom S:t Erik Försäkring redovisas via resultaträkningen, det förekommer alltså inget övrigt totalresultat som redovisas direkt mot eget kapital i investerings- verksamheten. A.4 Resultat från övriga verksamheter Inga andra verksamheter utöver försäkringsrörelsen och därmed relaterade verksamheter har bedrivits av S:t Erik Försäkring under innevarande och föregående år. A.5 Övrig information Ingen väsentlig övrig information föreligger. 7 (63) B. Företagsstyrningssystem S:t Erik Försäkring är ett captive och försäkrar i grunden endast sina ägares risker. Företagsstyrningssystemet innehåller samtliga de delar som krävs enligt gällande regelverk och har anpassats efter S:t Erik Försäkrings verksamhet, omfattning och riskernas komplexitet. S:t Erik Försäkring bedömer därmed utformningen som lämplig. B.1 Allmän information om företagsstyrningssystemet B.1.1 Struktur S:t Erik Försäkring har följande övergripande struktur för företagsstyrningssystemet: B.1.2 Ansvar B.1.2.1 Bolagsstämma och ägare S:t Erik Försäkrings styrelse och VD ska följa bolagsstämmans beslut och ägardirektiv från Stockholms stads kommunfullmäktige, såvida dessa inte strider mot bolagsordning, lag eller S:t Erik Försäkrings intresse. Enligt bolagsordningen har kommunstyrelsen, med undantag för sekretessbelagda uppgifter, rätt att ta del av S:t Erik Försäkrings handlingar och räkenskaper, samt i övrigt inspektera S:t Erik Försäkring och dess verksamhet. Enligt bolagsordningen ska för S:t Erik Försäkring strategiskt viktiga beslut eller principiellt viktiga frågor behandlas av kommunfullmäktige. B.1.2.2 Styrelsen Styrelsen har inte inrättat några kommittéer. Styrelsen i sin helhet hanterar därför de frågor som tillkommer ett revisionsutskott. Styrelsen har det yttersta ansvaret för S:t Erik Försäkrings organisation och förvaltning. 8 (63) Styrelsen ska se till att S:t Erik Försäkrings organisation är så utformad att bokföringen, medelsförvaltningen och S:t Erik Försäkrings ekonomiska förhållanden i övrigt kontrolleras på ett betryggande sätt. Styrelsen fastställer målsättningar, policys och strategiska planer som är av väsentlig betydelse för S:t Erik Försäkring. B.1.2.3 VD VD ansvarar för att verksamheten i S:t Erik Försäkring bedrivs enligt ägarens och styrelsens instruktioner samt att verksamheten följer gällande lagar och regler. VD ansvarar också för att verksamheten bedrivs enligt de mandat för risktagande som styrelsen fastslagit. VD utser funktionsansvariga och ansvarar för att kontraktsuppföljning sker samt att kontroller görs löpande i verksamheten. B.1.2.4 Internrevision Internrevisionen tillsätts av styrelsen och har i uppdrag att utföra oberoende granskning av verksamheten med avseende på bland annat tillförlitlighet och effektivitet i organisationen. Därutöver inbegriper uppdraget granskning av den interna kontrollen samt S:t Erik Försäkrings andra centrala funktioner. För att säkerställa att den oberoende granskningsfunktionen verkligen är oberoende gentemot de delar av den operativa verksamheten som den är satt att granska, ska ansvarig för internrevision rapportera direkt till styrelsen. Funktionens uppdrag regleras av S:t Erik Försäkrings instruktion för internrevision. B.1.2.5 Funktionen för regelefterlevnad Funktionen för regelefterlevnad ska ansvara för att S:t Erik Försäkrings anställda, företagsledning och styrelse hålls informerade om verksamhetens efterlevnad av lagstiftning, föreskrifter, allmänna råd, god affärssed, etiska regler och rekommendationer från branschorganisationer samt interna regler. I uppdraget ingår att bedöma och informera om de risker S:t Erik Försäkring kan exponeras för från bristande regelefterlevnad. Funktionen för regelefterlevnad är inriktad främst mot regler och rekommendationer rörande den tillståndspliktiga försäkringsverksamheten. Funktionen ansvarar inte för att följa upp och kontrollera i fråga om civilrättsliga, skatterättsliga, redovisningsrättsliga, konkurrensrättsliga frågor eller frågor som rör hantering av personuppgifter . Detta hanteras av andra funktioner i S:t Erik Försäkring. Funktionens uppdrag regleras av S:t Erik Försäkrings riktlinjer för regelansvarig samt gällande uppdragsavtal. B.1.2.6 Riskhanteringsfunktionen Funktionen skall verka självständig och i syfte att kontrollera och informera styrelsen, verkställande direktören och övriga om S:t Erik Försäkrings risker, exempelvis i samband med affärshändelser, tagna positioner samt utnyttjade limiter i anslutning till affärsbeslut. Funktionen ska ge en allsidig och saklig bild av S:t Erik Försäkrings väsentliga risker med hänsyn till verksamhetens art och omfattning och ska analysera riskutvecklingen. Det innebär att funktionen ska analysera, sammanställa och rapportera S:t Erik Försäkrings samlade 9 (63) riskbild. Funktionen ska ta initiativ till de förändringar av riktlinjer och processer som funktionen bedömer nödvändiga för att säkerställa ett välfungerande riskhanteringssystem. Funktionen ansvarar för att genom riskregistret kontrollera att varje väsentlig risk har en riskägare samt att följa upp att risken hanteras av verksamheten och därvid rapportera avvikelser till verksamheten, styrelsen och VD. Funktionens uppdrag regleras av S:t Erik Försäkrings instruktion för riskhanteringsfunktionen och gällande uppdragsavtal. B.1.2.7 Aktuarie Kontrollen av S:t Erik Försäkrings försäkringsrisker som kan beräknas med statistiska metoder (ex IBNR) ska utföras och rapporteras fortlöpande av S:t Erik Försäkrings aktuarie till verksamheten och styrelsen. Aktuarien lämnar information till riskhanteringsfunktionen om försäkringsrisker. Aktuarien uttalar sig även om kvalitén på den information som finns i S:t Erik Försäkrings IT-system och som används av aktuarien. Funktionens uppdrag regleras av gällande aktuarieinstruktion. B.1.3 Materiella ändringar under rapporteringsperioden Inga materiella förändringar av företagsstyrningssystemet har skett under perioden. B.1.4 Styrdokument för ersättning m.m. S:t Erik Försäkring har ett styrdokument för ersättning ” Ersättningspolicy” där det fastställs att rörlig ersättning inte ska utgå till någon befattningshavare hos S:t Erik Försäkring. Styrelseledamöterna är (med ett undantag) tjänstemän inom Stockholms stad och har inte någon ersättning eller pension från S:t Erik Försäkrings AB. Den externa ledamoten har ett timarvode. Den verkställande direktören är anställd i S:t Erik Försäkrings AB, har fast lön och tjänstepension. De anställda i S:t Erik Försäkring har fast lön samt kollektivavtalad tjänstepension enligt FTP- planen. B.1.5 Materiella transaktioner med aktieägare, personer med betydande inflytande, styrelse, VD och ledning. Inga materiella transaktioner har förekommit. B.2 Lämplighetskrav B.2.1 Allmänt S:t Erik Försäkring har en process för att bedöma kvalifikationer och lämplighet av personer i ledande ställning, nyckelpersoner samt personer som ansvarar för en central funktion., vilket framgår av S:t Erik Försäkrings styrdokument ”Riktlinjer för lämplighetsprövning av styrelse, ledning och nyckelfunktioner”. Bedömningen ska innefatta professionella meriter, formella kvalifikationer, kunskaper och relevanta erfarenheter inom försäkringssektorn, andra finanssektorer eller andra branscher och 10 (63) ska beakta de arbetsuppgifter som personen tilldelats och i dennes fall de relevanta kunskaper som behövs när det gäller försäkringar, finansområdet, redovisning, aktuariell förmåga och ledarskapsförmåga. Bedömningen av en persons anseende ska innefatta en granskning av personens ärlighet och ekonomiska ställning baserad på dokumentation avseende dennes anseende, uppträdande och yrkesutövande, inbegripet straffrättsliga, finansiella och tillsynsrelaterade aspekter som är relevanta för bedömningen. Avseende brott ska preskriptionstiden för eventuella brott eller andra påföljder enligt nationell lagstiftning beaktas. Adekvata undersökningar av anseende ska göras inför tillträde som styrelseledamot eller ansvarig för funktion samt årligen inom ramen för styrelsens utvärdering/VD:s utvecklingssamtal med funktionsansvarig. B.2.2 Krav B.2.2.1 Styrelseledamot Varje person som ingår i styrelsen ska vara kunnig och lämplig för sina arbetsuppgifter. En enskild ledamot i styrelsen behöver inte besitta expertkunskaper inom samtliga de listade områdena, utan det är tillräckligt att styrelsen sammantaget har den kunskap, kompetens och erfarenhet inom de listade områdena som krävs för att på ett sunt och tillförlitligt (prudent) sätt styra S:t Erik Försäkring. Vidare behöver inte styrelsen vid varje tillfälle ha den kompetens som man fastställt. Specialistkunskaper kan vid behov köpas in via externa leverantörer när beslut i sådana frågor ska fattas. Styrelsen måste då fastställa att de kompetenskrav man fastställt uppfylls av den externa parten. Följande krav på kompetens och kunskap ställs på styrelsen som helhet: • Försäkrings- och finansmarknaden Kunskap om den aktuella marknaden, vilket innebär kännedom och förståelse för den affärsmiljö (produkt), finansiella miljö (ekonomi) och marknadsmiljö (kunder, distribution och marknad) som S:t Erik Försäkring arbetar inom. • S:t Erik Försäkrings affärsstrategi och affärsmodell. • Företagsstyrningssystem Detta inkluderar kunskap och förståelse för de risker S:t Erik Försäkring är exponerat mot, hur de hanteras och kontrolleras. Därutöver förmåga att bedöma effektiviteten i företagsstyrningen, översynen och kontrollen av verksamheten, samt förmåga att förändra denna om det skulle behövas. • Finansiella och aktuariella analyser Förmåga att förstå S:t Erik Försäkrings ekonomiska och aktuariella information, identifiera nyckelfrågor, sätta upp lämpliga kontroller och ta nödvändiga åtgärder baserat på informationen. 11 (63) • Regelverk och lagstadgade krav Förståelse för och kunskap om det regelverk inom vilket S:t Erik Försäkring agerar och en förståelse och kunskap om S:t Erik Försäkrings förmåga att anpassa sig till förändringar i regelverket. B.2.2.2 VD VD ska ha de kvalifikationer och erfarenheter som behövs för att på ett professionellt sätt förvalta och driva ett försäkringsföretag av den art och omfattning som S:t Erik Försäkrings AB har. B.2.2.3 Aktuarie Aktuarie i S.t Erik Försäkrings AB ska vid vart tillfälle uppfylla de kompetenskrav som ställs på ansvarig aktuarie enligt gällande rätt, bolagets instruktion för aktuarien ev. befattningsbeskrivning. B.2.2.4 Funktionen för regelefterlevnad Ansvarig för regelefterlevnad ska ha de kvalifikationer och erfarenhet som krävs för att på ett fackmannamässigt sätt uppfylla de arbetsuppgifter som framgår av gällande rätt, bolagets riktlinjer för funktionen för regelefterlevnad, eventuell befattningsbeskrivning. B.2.2.5 Internrevision Internrevisionsfunktionen ska ha den kompetens som krävs för att på ett fackmannamässigt sätt utföra de arbetsuppgifter som framgår av gällande rätt, bolagets riktlinjer för internrevision, eventuell befattningsbeskrivning. B.2.2.6 Funktionen för riskhantering Riskhanteringsfunktionen ska ha den kompetens som krävs för att på ett fackmannamässigt sätt utföra de arbetsuppgifter som framgår av gällande rätt, bolagets riktlinjer för riskhanteringsfunktionen, eventuell befattningsbeskrivning. B.2.2.7 Krav vid uppdragsavtal avseende nyckelfunktioner Den leverantör som utför en funktion ska uppfylla kraven för funktionen enligt ovan. Ansvarig för den outsourcade funktionen på S:t Erik Försäkring ska ha tillräckliga kunskaper och erfarenheter avseende funktionen för att kunna leda och kontrollera leverantörens utförande av tjänsten med hänsyn till arten, omfattningen och komplexiteten av riskerna i S:t Erik Försäkrings verksamhet. Ledning hämtas i tillämpliga delar från de krav som ställs på funktionen. B.2.3 Process för bedömning av kvalifikationer och lämplighet S:t Erik Försäkring har en process som är anpassad efter de speciella krav som ställs på den aktuella funktionen enligt nedan. Styrelsen Styrelsen ska minst årligen revidera kompetenskraven. Detta sker normalt i samband med styrelsens självskattning. Revidering ska även ske om S:t Erik Försäkrings verksamhet påverkas i sådan grad att kompetensbehovet förändras i betydande mån, exempelvis vid: 12 (63) • förändring av styrelsens sammansättning, • ändrade legala krav på bolaget • nya produkter som kan kräva ändrad kompetens • bolagets risker ändras väsentligt Efter en revidering av kompetensbehoven ska: • styrelsen genomföra en utvärdering av både styrelsens kollektiva- och enskilda ledamöters kompetens. • ordföranden meddela ägarna de nya kompetenskraven Styrelsen utvärderar sig själv minst årligen samt enligt nedan genom att gemensamt diskutera de kompetensbehov som man fastställt och eventuellt revidera dessa. När styrelsen således skapat en gemensam syn på kompetensen gör varje ledamot en självskattning. Resultatet sammanställs av ordföranden som redovisar detta för styrelsen. Styrelsen diskuterar resultatet och upprättar en eventuell utbildningsplan för styrelsen som helhet eller för en specifik ledamot. Vid förändringar av styrelsens sammansättning är det viktigt att kontrollera om förändringen innebär att styrelsens kollektiva kompetens fortsatt uppnås. Styrelseordföranden ansvarar då för att: • innan bolagsstämman, och vid behov, informera ägarna om de kompetenskrav som styrelsen fastställt för ledamöter. • genomföra en utvärdering av om den kvarvarande styrelsen uppfyller de fastställda kompetenskraven • informera en tillträdande ledamot om de kompetenskrav som styrelsen fastställt, • dokumentera tillträdande ledamots CV • se till att tillträdande ledamot gör en självskattning, att kontroll av anseende enligt sker samt att eventuella utbildningsbehov dokumenteras. VD Styrelsen utvärderar löpande VD med styrelseordföranden som ansvarig samt årligen av ägaren i samband med rekrytering och lönesättning. Utvärdering ska även övervägas vid: • ändrade legala krav på bolaget eller VD • nya produkter som kan kräva ändrad kompetens • bolagets risker ändras väsentligt Aktuarie Utvärdering för anställd aktuarie sker i enlighet med S:t Erik Försäkrings regelverk för utvecklingssamtal och för outsourcad verksamhet i enlighet med S:t Erik Försäkrings riktlinjer för uppdragsavtal samt rutiner för kontraktsuppföljning. Funktionen för regelefterlevnad Utvärdering för regelefterlevnadsansvarig sker i enlighet med S:t Erik Försäkrings riktlinjer för uppdragsavtal samt rutiner för kontraktsuppföljning. 13 (63) Internrevision Utvärdering för internrevision sker i enlighet med S:t Erik Försäkrings riktlinjer för uppdragsavtal samt rutiner för kontraktsuppföljning. Funktionen för riskhantering Utvärdering för riskhanteringsansvarig sker i enlighet med S:t Erik Försäkrings riktlinjer för uppdragsavtal samt rutiner för kontraktsuppföljning. B.3 Riskhanteringssystem inklusive egen risk- och solvensbedömning B.3.1 Riskhanteringssystemets uppbyggnad och integrering i verksamheten Styrelsen för S:t Erik försäkring har antagit riktlinjer för riskhantering, instruktion för riskhanteringsfunktionen samt en policy för ORSA som tillsammans är centrala för utformningen av S:t Erik Försäkrings riskhanteringsarbete. Genom en välfungerande riskhanteringsprocess ska bolaget vid varje tillfälle vara i stånd att identifiera, värdera, övervaka, hantera och rapportera samtliga de risker som kan hindra bolaget från att uppnå sina verksamhetsmål eller efterleva gällande lagar och regler. De risker som tas är en följd av medvetna beslut, de är väl analyserade och bedöms inte hota verksamhetens mål. Ytterst är målet att säkerställa en fortlöpande uthållig verksamhet genom att skydda S:t Erik Försäkrings anställda, dess tillgångar och åtaganden samt ytterst dess anseende och förtroende. Bolagets riskhanteringssystem består av följande huvudsakliga delar: • Ett kapitalmål vilket anger bolagets målsättning i fråga om det eller de mest relevanta kapitaliseringsmåtten för bolaget. Kapitalmålet kompletterar riskaptiten per riskområde genom att ange bolagets övergripande riskaptit och -tolerans. • En riskhanteringsprocess övergripande och för respektive riskområde eller delområde. Utformningen av riskhanteringsprocessen för enskilda områden varierar med områdets • beskaffenhet. • En riskfilosofi vilken utgör en bakgrund till riskhanteringssystemet. Riskfilosofin innefattar en konceptuell uppdelning av riskerna i riskgrupper och en kategorisering för bolagets inställning till enskilda riskområden som önskvärda, nödvändiga eller ej önskvärda • En riskaptit vilken kompletterar bolagets inställning enligt riskfilosofin genom att, antingen kvalitativt eller kvantitativt, ange vilken tolerans bolaget har mot respektive riskområde eller delområde För att säkerställa att risker beaktas i affärsbeslut, genomförs riskanalyser i samband med strategiskt viktiga beslut. Styrelsen har som kapitalmål tillika övergripande risktolerans angett att S:t Erik Försäkrings solvenskapitalkvot enligt Solvens II-regelverket inte ska understiga 150 procent. Solvenskapitalkravet beräknas härvid enligt regelverkets standardformel. Styrelsen har för olika riskområden fastställt toleransnivåer och limiter för riskexponeringar inom området. S:t Erik Försäkrings övergripande riskhanteringsprocess innefattar följande element: 1. Identifiering och beskrivning av risker 2. Riskvärdering inklusive definitioner av riskmått 3. Fastställande av riskaptit och toleransnivåer 14 (63) 4. Riktlinjer och rutiner för riskreducering 5. Rutiner för mätning och rapportering av riskexponering Identifiering, värdering och fastställande av riskaptit utgör viktiga delar av bolagets strategiarbete och är därför integrerade med den årliga verksamhetsplaneringen och med den egna risk- och solvensutvärderingen (ORSA). Riskhanteringssystemet täcker samtliga risker bolaget är exponerade mot. Analys av påverkan på riskexponeringen görs vid varje betydande förändring i verksamhetens processer, organisation eller inriktning (inklusive vid outsourcing). Riskhanteringsfunktionen ansvarar för att omedelbart rapportera identifierade akuta risker och incidenter till ledning och styrelse. Funktionen ska även regelbundet sammanställa en skriftlig sammanfattande riskrapport. Riskrapporten ska väga in information från den aktuarien och funktionen för regelefterlevnad, riskhanteringsfunktionens egna bedömningar av denna information, incidenter rapporterade av verksamheten samt risker som inte tagits upp tidigare. Rapporten skickas till styrelsen och ledningen och föredras som regel även muntligen för styrelsen. B.3.2 Egen risk- och solvensbedömning S:t Erik Försäkrings process för den Egna risk- och solvensbedömningen (ORSA) syftar till att: • bedöma S:t Eriks totala solvensbehov på kort (upp till ett år) och medellång sikt (tre år) med beaktande av riskprofil, risktolerans och affärsstrategi, • vara underlag för finansieringsplan, • ge styrelsen en fördjupad förståelse för de risker som verksamheten är förknippad med och utmana dessa i solvenshänseende, • ingå som en integrerad del i affärsstrategin och beaktas vid S:t Erik Försäkrings strategiska beslut, affärsplaner och budget, • bedöma S:t Erik Försäkrings fortlöpande efterlevnad av bestämmelserna om solvens- och minimikapitalkrav. • bedöma hur betydande skillnaderna är mellan S:t Erik Försäkrings riskprofil och de antagande om risker som har legat till grund för beräkning av solvenskapitalkravet. Ordinarie ORSA ska minst genomföras årligen. En extraordinär ORSA ska även initieras vid konstaterade överträdelser eller väsentligt förhöjd risk för överträdelse av bolagets centrala risktoleranser avseende solvenskvot eller försäkringsrisker. Även vid beslut som medför en väsentligt förändrad riskprofil ska en extraordinär ORSA genomföras, exempelvis vid betydande förändringar i självbehåll i avgiven återförsäkring. Styrelsen är ytterst ansvarig för ORSA-processen och ska delta aktivt och utmana de kvalitativa och kvantitativa bedömningarna, beskrivningen av S:t Erik Försäkrings risker, utformning av stresstester samt fatta beslut om den rapport som dokumenterar ORSA- processen och dess slutsatser. VD har det operativa ansvaret för att arbetet med ORSA genomförs i enlighet med S:t Erik Försäkrings riktlinjer. 15 (63) B.4 Internkontrollsystem B.4.1 Struktur Intern styrning och kontroll finns definierat i en mängd dokument på verksamhetsnivå, processbeskrivningar, Riktlinjer för rapportering m.fl. Av de dokumenten framgår de kontroller och beslut som fattas i allt från kontroll av upphandlingsunderlag till beslut av styrelsen avseende rapportering till Finansinspektionen. Styrelsen ansvarar för att S:t Erik Försäkring har klara och tydliga regler för hur verksamheten ska organiseras och hur verksamheten ska förvaltas genom att upprätta instruktioner och styrdokument. S:t Erik Försäkrings VD har i sin tur ansvaret för den löpande förvaltningen och för att i förekommande fall delegera ansvaret vidare till S:t Erik Försäkrings anställda genom tydliga befattningsbeskrivningar och arbetsinstruktioner. I de fall verksamheten är utlagd på extern part ska klara och tydliga uppdragsavtal upprättas. Ansvarsområden och beskrivning av olika funktioner framgår av avsnitt B.1 ovan. Denna bild ger en översiktlig bild av den interna kontrollen med rapportering och kompletterar således avsnitt B.1. Styrdokument Beslutsinstans Återrapportering Bolagsordning och Ägaren Årsredovisning bolagsstämmo- protokoll Styrelsen Budget, prognoser, Arbetsordning för kvartalsrapporter och VD och styrelse, årsbokslut samt i riktlinjer och särskilda fall ”Rapport styrdokument av händelse av väsentlig betydelse” VD Riktlinjer för intern Revisionsrapporter, styrning och rapporter från kontroll, funktionen för internrevision regelefterlevnad, instruktioner för riskrapporter funktionen för regelefterlevnad, riskhanteringspolicy Internrevision, funktionen för regelefterlevnad och riskhantering Resultat av utförda arbetsinstruktioner via ekonomi- & Befattningsbeskriv- försäkringssystem ning och/eller skriftliga arbetsinstruktioner samt uppdragsavtal Anställda och underleverantörer B.4.2 Fördelning av ansvar Styrelsen och VD fördelar ansvar och arbete på ett sådant sätt att intressekonflikter undviks. 16 (63) B.4.3 Dualitet För att minska risken för rena handläggningsfel och avsteg från fastställda instruktioner har samtliga arbetsinstruktioner upprättats så att det alltid är fler än en befattningshavare som handlägger ett ärende genom hela behandlingskedjan. B.4.4 Uppföljning För att kunna bedriva verksamheten på ett effektivt sätt följs verksamheten upp löpande och på ett ändamålsenligt sätt som en del av S:t Erik Försäkrings processer. B.4.5 Systeminformation En stor risk i samband med beslutsfattande är att beslutsunderlaget inte stämmer överens med verkligheten vilket i sin tur leder fram till felaktiga beslut. Av det skälet innehåller S:t Erik Försäkrings informations- och rapporteringssystem aktuell och relevant information och processer har utarbetats för att säkerställa detta. B.4.6 Rapportering Återrapporteringen i S:t Erik Försäkring är utformad så att samtliga berörda enheter, inklusive ägare och styrelse, dels får sådan saklig, utförlig och relevant information som behövs för att kunna fatta väl underbyggda beslut och dels att de löpande informeras om utvecklingen av S:t Erik Försäkrings verksamheter. Verksamheten Samtliga anställda som får kännedom om en incident, risk eller händelse av väsentlig betydelse ska genast informera VD och berörd funktion om händelsen. Genom S:t Erik Försäkrings IT-system får VD även kännedom om tecknade försäkringar, inträffade skador samt ekonomiskt utfall. Regelefterlevnadsfunktionen Regelansvarig informerar styrelsen, företagsledning och anställda om ändrad lagstiftning, god affärssed, etiska regler och rekommendationer från branschorganisationer, samt interna regler. Rapportering sker i enlighet med av styrelsen beslutad instruktion. Internrevision Internrevisionen utvärderar och rapporterar, minst en gång per år, statusen på den interna kontrollen inom S:t Erik Försäkring och rekommenderar åtgärder till företagsledningen för att komma tillrätta med brister. Riskhanteringsfunktionen Riskhanteringsansvarig rapporterar löpande VD och avlägger regelbundet skriftlig rapport till styrelsen samt närvarar vid styrelsemöten samt vid behov. VD Till styrelsen presenterar VD budget och långsiktig strategisk inriktning, kvartalsrapporter med prognoser samt årsbokslut i enlighet med ”Instruktion för rapportering av S:t Erik Försäkrings ekonomiska situation m.m.” Vid behov ska VD även ge förslag på ändrade instruktioner och riktlinjer. VD ska även årligen redovisa genomgång av kontraktsuppföljning och internkontrollplan. 17 (63) Styrelse S:t Erik Försäkrings styrelse ansvarar för att det upprättas årsredovisning och revisionsberättelse till ägarna. Aktuariefunktionen Aktuarien tillhandahåller löpande, till berörda funktioner, underlag för den aktuariella delen av rapporteringen, lämna årligen aktuarieutlåtande och försäkringsteknisk utredning till S:t Erik Försäkrings styrelse samt medverkar vid styrelsemöten om styrelsen så begär. B.5 Internrevisionsfunktion B.5.1 Internrevisionens integrering i verksamheten Internrevisionen inom S:t Erik Försäkring ska vara en resurs för styrelsen att utföra oberoende granskning av verksamheten och därvid: • utvärdera systemet för internkontroll • utvärdera andra delar av företagsstyrningssystemet • rapportera resultat och lämna rekommendationer till S:t Erik Försäkrings styrelse och ledning • kontrollera verkställande av beslut baserade på funktionens rekommendationer • minst årligen upprätta en riskbaserad revisionsplan för granskning de kommande åren Internrevisionens arbete gränsar till den externa granskning som utförs av S:t Erik Försäkrings externa auktoriserade revisor. Som gränsdragning i granskningsarbetet ska då gälla att den oberoende granskningsfunktionen inriktar sig på den interna kontrollen, medan den externa granskningen inriktar sig på S:t Erik Försäkrings redovisning och årsbokslut. Den person som leder den internrevisionen är ansvarig för att samordna gransknings- och revisionsarbetet så att inget område hamnar utanför granskningen eller utsätts för dubbel granskning. VD är ansvarig för att utveckla och underhålla strukturer för intern kontroll och genomföra de åtgärder som styrelsen beslutar med anledning av funktionens rekommendationer. Styrelsen ansvarar för att besluta om revisionsplan, vilka åtgärder som vidtas med anledning av funktionens rekommendationer och att åtgärderna genomförs. Anställda är ansvariga inom sitt arbetsområde för efterlevnaden av de riktlinjer, instruktioner och rutiner som finns på plats för att åstadkomma en god intern kontroll. Den granskning som utförs av internrevisionen befriar inte någon del av organisationen från dess delegerade ansvar för intern kontroll. B.5.2 Internrevisionens oberoende För att säkerställa att internrevisionen verkligen är oberoende gentemot de delar av den operativa verksamheten som den är satt att granska, ska ansvarig för internrevisions- funktionen rapportera direkt till styrelsen. Utöver S:t Erik Försäkrings riktlinjer för internrevision ska internrevisionen fritt bestämma över sitt eget arbete. 18 (63) B.6 Aktuariefunktion Aktuariefunktionen utförs genom uppdragsavtal med Nordic Actuary. Funktionens placering i S:t Erik Försäkring framgår av avsnitt B.1.1. ovan. Aktuarien utför de analyser, beräkningar, metoder och kontroller som behövs för att S:t Erik Försäkring ska uppfylla gällande legala krav utförs på ett korrekt sätt. Utöver dessa uppgifter ska aktuarien: • På uppdrag av styrelsen eller verkställande direktören göra särskilda försäkrings- tekniska utredningar och beräkningar • Löpande delta som speaking partner i försäkringstekniska frågor • Vara behjälplig med råd och kommentarer vid upphandling av ny försäkring • Vara behjälplig i rapporteringen till Finansinspektionen i de delar som berör försäkringsteknik • Delta i och vara behjälplig med aktuariell kompetens i samband med årsbokslut • Vara stöd till styrelsen vid underhåll av S:t Erik Försäkrings försäkringstekniska riktlinjer, tecknings- och återförsäkringsrisker samt reservsättning. De kontroller som aktuarien ska utföra framgår av gällande regelverk, bl.a. kring datakvalitet och bästa skattning. Dessa kontroller ska ske i så god tid att verksamheten vid beräkningar, rapportering och upprättande av riktlinjer kan justera dessa. Aktuarien och verksamheten ska i samråd planlägga arbetet. Aktuarien ska löpande rapportera sina bedömningar och rekommendationer till styrelsen och VD, avvikelser ska rapporteras omedelbart. Aktuarien ska till styrelsen avge ett skriftligt utlåtande om reservernas tillräcklighet i samband med årsbokslutet och ska minst årligen lämna en skriftlig rapport till styrelsen med dokumentation av det arbete som utförts, resultat, identifiering av brister samt rekommendationer om åtgärder. B.7 Uppdragsavtal S:t Erik Försäkring har i sitt styrdokument ” Riktlinjer för uppdragsavtal” reglerat hur outsourcing av operativ verksamhet eller funktioner av väsentlig betydelse får ske. Ett uppdragsavtal får inte avse operativ verksamhet eller funktioner som är av väsentlig betydelse, om det kan leda till att: • kvaliteten i företagsstyrningssystemet försämras väsentligt, • den operativa risken i S:t Erik Försäkring ökar väsentligt, • Finansinspektionens möjlighet att utöva tillsyn försämras, eller, • försäkringstagarnas möjlighet till tillfredsställande och fortlöpande service inte kan upprätthållas. En extern part som åtar sig uppdrag att utföra en tjänst åt S:t Erik Försäkring ska följa S:t Erik Försäkrings policys och riktlinjer samt ska leva upp till de lagkrav som ställs på S:t Erik Försäkrings verksamhet. I riktlinjerna regleras vilka funktioner och aktiviteter som anses vara viktiga eller kritiska för S:t Erik Försäkrings verksamhet, hur riskanalys ska ske innan outsourcing får ske, de krav som måste vara uppfyllda för att verksamhet ska få bedrivas av extern part, vad som ska 19 (63) regleras i avtalet med uppdragstagare samt anmälan till och kontrollmöjligheter för Finansinspektionen. Följande verksamheter har identifierats som viktiga eller kritiska, med angivande av om verksamheten bedrivs i egen regi eller genom uppdragsavtal: • VD Anställd • Aktuariella tjänster, Uppdragsavtal • IT Uppdragsavtal • Internrevision Uppdragsavtal • Regelefterlevnad Uppdragsavtal • Skadereglering Uppdragsavtal • Försäkringshantering Anställda • Riskhantering Uppdragsavtal • Ekonomi Anställd Den för uppdragsavtalen gällande lagstiftningen utgörs av svensk rätt med Stockholms tingsrätt som tvisteforum. B.8 Övrig information Ovanstående beskrivning av företagsstyrningssystemet utgör samtlig materiell information om detsamma. 20 (63) C. Riskprofil S:t Erik Försäkring analyserar sin riskprofil utifrån den process som beskrivs i avsnitt B.3.1. S:t Erik Försäkring använder sig av standardformeln för att beräkna S:t Erik Försäkrings solvenskapitalkrav. Inom ramen för ORSA-processen, se avsnitt B.3.2, görs en bedömning om ytterligare kapital krävs för någon riskexponering utöver det som resulterar från standardformeln. Av de risker som omfattas av standardformeln är S:t Erik Försäkring exponerat mot kategorierna teckningsrisker från skadeförsäkring och sjukförsäkring (liknande skadeförsäkring), marknadsrisker, motpartpartsrisker och operativa risker. Teckningsrisker från livförsäkring (inklusive sjukförsäkring liknande livförsäkring) eller risker i immateriella tillgångar förekommer ej. Utöver standardformelns riskkategorier är S:t Erik Försäkring exponerat för likviditetsrisker och affärsrisker. S:t Erik Försäkrings bedömning är att likviditetsriskerna är obetydliga. För de risker som omfattas av standardformeln bedöms inte något ytterligare kapital behöva avsättas, likaså krävs inget ytterligare kapital för S:t Erik Försäkrings affärsrisker. S:t Erik Försäkrings riskprofil visas i graf nedan efter fördelningen av respektive riskkategoris bidrag till solvenskapitalkravet per 31 december 2025 respektive 2024 utan hänsyn till diversifieringseffekter mellan riskkategorierna. Inga materiella förändringar av riskprofilen har skett under perioden, även om bidraget från teckningsrisker har ökat något. Se avsnitt E.2 för mer detaljer kring solvenskapitalkravets sammansättning. Figur: Riskprofil för S:t Erik Försäkring efter bidragen till solvenskapitalkravet per riskkategori per 2024-12-31 och 2023-12-31 21 (63) C.1 Teckningsrisk Teckningsrisken är S.t Erik Försäkrings största risk och härrör till största delen från skadeförsäkring och till resterande del från sjukförsäkring (från bolagets olycksfallsaffär). Teckningsrisken utgörs av premierisk, reservsättningsrisk och katastrofrisk. S:t Erik Försäkring är inte exponerat för annullationsrisk då Stockholms stad har en försäkringspolicy som anger att stadens samtliga försäkringslösningar antingen ska försäkras av bolaget eller tecknas med bolagets medverkan. S:t Erik Försäkrings teckningsrisker brutto, det vill säga före riskreducerande åtgärder, är i hög grad koncentrerade genom att samtliga risker är hänförliga till förvaltningar och bolag inom Stockholms kommun. Teckningsriskerna hanteras och begränsas genom bland annat skadeförebyggande arbete och villkorsutformning. Bolaget har genom sin ställning som captive god tillgång till information från försäkringstagarna och ett stort inflytande över deras riskhanteringsarbete. Om premierna över tid ändå är för låga (eller höga) finns goda möjligheter att justera dessa. Teckningsriskernas storlek och koncentrationen i dessa reduceras ytterligare genom köp av återförsäkring. S:t Erik Försäkrings återförsäkringsprogram placeras som huvudregel genom offentlig upphandling. Bolaget eftersträvar i sin upphandling att placera återförsäkringen hos flera olika återförsäkringsgivare och tillse att återförsäkringsavtalens betalningsvillkor överensstämmer med S:t Erik Försäkrings motsvarande skyldighet mot försäkringstagarna. Bolaget har i sina riktlinjer fastställt vilken nivå av teckningsrisker som kan accepteras per riskgrupp respektive totalt. S:t Erik Försäkring utför en riskbedömning för att säkerställa en försäkringslösning som begränsar bolaget risktagande. Effektiviteten av återförsäkringsskyddet följs av aktuarien och rapporteras årligen till styrelsen. Det övergripande återförsäkringsskyddet för S:t Erik Försäkring fastställs även årligen av styrelsen. Återförsäkringsprogram med självbehåll för 20245 visas i nedan tabell där enda förändringen jämfört med föregående period är att maximal risk per år för egendom har ökat från 80 000 tkr till 120 000 tkr Valda självbehåll begränsar risken per skada och i flera program finns en begränsning på totala skadekostnader under året (”stop loss”). De flesta återförsäkrings- program, som tecknats separat per riskgrupp, har tecknats fördelat över ett antal olika återförsäkringsföretag. Tabell: Aktuella återförsäkringsprogram, gäller 2025 Återförsäkringsprogram Maximal risk per skada Maximal risk per år (Stop loss) (Självbehåll) (tkr) Egendom 15 000 120 000 Ansvar 10 000 10 000 Olycksfall 1 500 e.t. Terrorism 1 000 1 000 S:t Erik Försäkrings riskkänslighet för teckningsrisk undersöks som en del av bolagets ORSA-process. Slutsatsen är att även vid den osannolika händelse att skadekostnaderna ökar 22 (63) upp till stop loss-nivåerna i återförsäkringen flera år i rad så är bolagets kapitalisering likväl inom fastställda toleransnivåer. C.2 Marknadsrisk S:t Erik Försäkrings exponering för marknadsrisk är mycket liten och består uteslutande av begränsade ränterisker. Bolaget placerar uteslutande tillgångarna på koncernkonto med rörlig ränta i Stockholms stad, alla övriga risker förutom ränterisken i dessa tillgångar hänförs till motpartsrisk, se avsnitt C.3. Ränteriskernas storlek beror på matchningen mellan räntebindningstiden i tillgångarna och förväntad löptid på försäkringsskulden. Genom att räntebindningen på koncernkontot är mycket kort och S:t Erik Försäkrings försäkringsaffär i huvudsak är kortsvansad är ränteriskerna små i förhållande till bolagets totala kapitalkrav. C.3 Kreditrisk S:t Erik Försäkrings exponering för kreditrisk utgörs av motpartsrisk på grund av återförsäkrare, samt vissa andra fordringar (vilka utgör mindre än en procent av motpartsrisken). S:t Erik Försäkrings exponering inom motpartsrisk från tillgångar på koncernkonto hos Stockholms stad bedöms inte inom bolaget medföra någon betydande risk genom motpartens mycket goda finansiella styrka. Dessa tillgångar är även enligt regelverket undantagna från att bidra till solvenskapitalkravet. Motpartsriskerna från avgiven återförsäkring begränsas genom att återförsäkring endast tecknas hos återförsäkrare som har en rating om minst A- enligt Standard & Poor´s klassificering eller motsvarande från ett annat ratinginstitut, alternativt om rating saknas så ska motparten ha en solvenskapitalkvot om minst 175 procent. Kreditvärdigheten hos återförsäkrare följs regelbundet av verksamheten, kontrolleras av riskhanteringsfunktionen och återrapporteras till styrelsen. Koncentrationsriskerna från avgiven återförsäkring hanteras genom att upphandlingen utformas så att en god fördelning av motparter uppnås. Vidare har S:t Erik Försäkring enligt återförsäkringsavtalet möjlighet att begära ersättning inom 30 dagar när större skador har inträffat, genom så kallade ”cash calls”. S:t Erik Försäkrings riskkänslighet för motpartsrisk undersöks som en del av S:t Erik Försäkrings ORSA-process, även vid den händelse att ratingen för samtliga återförsäkrare sänktes betydligt är utfallet i fråga om S:t Erik Försäkrings kapitalisering är väl inom av styrelsen satta ramar. C.4 Likviditetsrisk Likviditetsrisk ingår inte i standardformelns beräkning av solvenskapitalkravet. S:t Erik Försäkring bedömer likviditetsrisken minst årligen i samband med genomgången av S:t Erik Försäkrings samtliga risker inom styrelsens ORSA-process. Likviditetsrisken har bedömts som låg. S:t Erik Försäkrings samtliga förvaltningstillgångar är per 31 december 2024 omedelbart tillgängliga genom att de är placerade på koncernkonto. Enligt försäkringsvillkoren har S:t Erik Försäkring 30 dagar på sig att betala skadekostnaderna gentemot kunderna vilket även motsvarar den tid återförsäkrarna har på sig att betala cash calls. Det finns även en betalningsklausul i S:t Erik Försäkrings avtal med dess återförsäkrare som anger att återförsäkrare ska betala direkt till försäkringstagaren så att inte S:t Erik Försäkring behöver skjuta till medel för den del av skadan som överstiger självbehållet. 23 (63) S:t Erik Försäkrings meddelade försäkringar löper årsvis med full premiebetalning i början av perioden. Därmed ingår ingen förväntad vinst från framtida premier i S:t Erik Försäkrings kapitalbas. C.5 Operativ risk Operativ risk kan aldrig till fullo undvikas och ofta är kostnaden för ytterligare reducering betydande. Operativa risker är som huvudregel att betrakta som nödvändiga risker som bolaget eftersträvar att hålla på en begränsad nivå och där ytterligare riskreducering genomförs där det är kostnadseffektivt. För operativa risker relaterade till säkerhet, hälsa, personlig integritet, regelefterlevnad samt felaktig skadereglering som drabbar enskilda personer är bolagets inställning att de är icke önskvärda och därför ska minimeras så långt det är möjligt och ekonomiskt försvarbart. Operativa risker ska identifieras genom att riskanalyser genomförs inom alla verksamhetsområden. Riskanalyser ska genomföras vid väsentligt förändrad verksamhet och annars minst vartannat år. Inträffade incidenter inom riskområdet och status för planerade åtgärder relativt de största identifierade operativa riskerna följs löpande under året och återrapporteras av riskhanteringsfunktionen till styrelsen. Risknivån bedöms i både absoluta termer och relativt S:t Erik Försäkring storlek som låg. IKT-risk och säkerhetsrisk som en delkomponent i operativ risk är risk för förlust som beror på brott mot konfidentialiteten, på att integriteten hos system och data inte fungerar, på att system och data är olämpliga eller otillgängliga, eller på oförmåga att ändra på IKT:n inom rimlig tid och till rimliga kostnader när miljö eller verksamhetskraven förändras (dvs. flexibilitet). Detta inkluderar cyberrisker och informationssäkerhetsrisker till följd av otillräckliga eller icke-funktionella interna processer eller externa händelser, däribland cyberattacker eller otillräcklig fysisk säkerhet. Bolaget har en rad interna policyer och riktlinjer som på ett eller annat sätt berör IKT. Bolaget är anslutna till flera tjänster och IKT-tillgångar som upphandlats genom Stockholm Stad. Därvid finns flertalet riktlinjer som behandlar olika typer av frågor rörande IKT och informationssäkerhet som är producerade av Stockholm Stad vilka också ska efterlevas av Bolaget. Dessa kan i sin tur ha påverkan på Bolagets arbete kring informationssäkerhet och IKT-strategi. Det har inte skett några väsentliga förändringar i riskexponeringen för IKT risker under rapporteringsperioden. C.6 Övriga materiella risker S:t Erik Försäkrings ställning som captivebolag till Stockholms stads förvaltningar och bolag innebär att affärsrisker i allt väsentligt är begränsade. I affärsrisker ingår intjäningsrisker, ryktesrisker och strategiska risker. Den enda materiella övriga risken som har identifierats är relaterad till ryktesrisk där ett försämrat rykte för S:t Erik Försäkring på återförsäkringsmarknaden riskerar innebära väsentligt högre återförsäkringspremier. Denna risk hanteras genom ett transparent upphandlingsförfarande för återförsäkring och genom en låg tolerans för vidlyftiga ersättningar till försäkringstagarna på återförsäkrarnas bekostnad. 24 (63) S:t Erik Försäkring som captive inom Stockholms stad med tillhörande kommunala bolag är exponerade mot de underliggande klimatrisker genom försäkringsavtalen med staden. Bolagets klimatrelaterade risker är bedömda som materiella, särskilt fysiska risker bedöms höga. Effekten av dessa risker är svårbedömd på grund av klimatets och försäkringsaffärens komplexitet, osäkerheten i denna kvalitativa analys är hög. Bland de identifierade materiella klimatrelaterade riskerna kan nämnas stigande vattennivå i Östersjön samt översvämning till följd av omfattande nederbörd. Eventuella skador kan visas som skador på stadens egendom men även som skadestånd relaterat till stadens verksamhet. Det centrala verktyget från bolaget för hanteringen av stora skadekostnader är utformningen av villkor i försäkrings-och återförsäkringsavtal, stora skador i det korta perspektivet begränsas med stop-loss återförsäkring. C.7 Övrig information Bolaget har ingen övrig information att lämna om riskprofilen. D. Värdering för solvensändamål D.1 Tillgångar Nedan följer en beskrivning över de tillgångsslag som S:t Erik Försäkring har, hur de värderas och skillnaden mellan värderingen i finansiell redovisning och värdering för solvensändamål. Lagstadgade Tillgångar 2025-12-31 (tkr) Solvens II räkenskaper Skillnad Lån och hypotekslån 416 473 416 473 - Fordringar enligt återförsäkringsavtal från: Skadeförsäkring exklusive sjukförsäkring 57 122 54 650 -2 472 Återförsäkringsfordringar - - - Fordringar (kundfordringar, inte försäkring) 727 727 - Övriga tillgångar som inte visas någon 7 290 7 290 - annanstans 486 386 486 807 -2 472 D.1.1 Lån S:t Erik Försäkrings lån till Stockholms stad i form av koncernkonto (cash pool), 416 473 tkr (446 570), är värderat enligt upplupet anskaffningsvärde. Tillgången är dock placerad på en kort löptid (löpande) och värderingen vid balansdagen är densamma som S:t Erik Försäkring anser att en köpare skulle betala för tillgången (alternativa kostnadsmetoden), så någon omvärderingseffekt föreligger inte. D.1.2 Fordringar enligt återförsäkringsavtal Omvärderingen av S:t Erik Försäkrings poster för återförsäkrares andel av skadereserv och återförsäkrares andel av premiereserv, totalt 23 042 tkr (35 745), är genomförd med hjälp av historiska bolagsspecifika kassaflöden och en fastställd riskfri ränta och är utförda av S:t Erik 25 (63) Försäkrings aktuarie. Odiskonterade värden för premieavsättningarna har vid årsskiftet värderats till 0 kr (0) och skadeavsättningar har värderats till 18 894 tkr (36 166). Fordringarna enligt återförsäkringsavtal minskar med 2 4721 tkr (421) i solvensvärderingen gentemot den legala bokföringen. D.1.3 Fordringar, ej försäkring (kundfordringar) S:t Erik Försäkrings finansiella tillgångar har generellt sett kort löptid vilket medför att bokfört värde är en god approximation av verkligt värde. D.1.4 Övriga tillgångar Övriga tillgångar i den legala redovisningen bedöms vara värderade i linje med solvensregelverket och tas upp i sin helhet. D.2 Försäkringstekniska avsättningar S:t Erik Försäkrings försäkringstekniska avsättningar (FTA) vid värderingstidpunkten framgår av nedanstående tabell. Försäkringstekniska avsättningar Lagstadgade 2025-12-31 (tkr) Solvens II räkenskaper Skillnad Skadeavsättning 105 638 99 311 6 327 Riskmarginal 6 221 0 6 221 111 859 99 311 12 548 Enligt Solvens II ska försäkringsföretag göra försäkringstekniska avsättningar för sina åtaganden med anledning av ingångna försäkringsavtal. Detta innebär att de försäkringstekniska avsättningarna i den legala redovisningen har ersatts av en bästa skattning av samtliga kassaflöden som rör den försäkringstekniska verksamheten. Detta innebär även att fordringar och skulder som avser försäkringstekniska poster ska inkluderas i denna bästa skattning i solvensbalansräkningen. Värdet av FTA i solvensbalansräkningen ska motsvara det aktuella belopp som S:t Erik Försäkring skulle vara tvungna att betala om de omedelbart skulle föra över sina försäkrings- och återförsäkringsförpliktelser till ett annat försäkrings- eller återförsäkringsföretag, som är oberoende och som har intresse av att transaktionen genomförs. Detta inkluderar därför en riskmarginal som ska motsvara belopp som motparten kan förväntas kräva för att ta över och uppfylla försäkrings- och återförsäkringsförpliktelserna. D.2.1 Bästa skattning S:t Erik Försäkring tillämpar antaganden om kassaflödesprofiler grundade i huvudsak på S:t Erik Försäkrings egna historiska data. För beräkning av reserver för inträffade men ej rapporterade skador (IBNR) tillämpar S:t Erik Försäkring en enkel chain-ladder metod vars antaganden om utvecklingsfaktorer grundas på S:t Erik Försäkrings egna historiska data. Metoden är väl etablerad, förståelig för externa bedömare, lätt att verifiera och omfånget av beräkningar proportionerligt. 26 (63) S:t Erik Försäkring har beräknat sin premiereserv till 0 kr då inga avtal med kvarstående löptid fanns per 2025-12-31. Med hjälp av historiska bolagsspecifika data har avsättningarna tilldelats ett avvecklingsmönster och har diskonterats med EIOPA:s riskfria ränta. Data som används i beräkningarna bedöms i sig som tillräckliga och av godtagbar kvalitet. Aktuariefunktionen bedömer att bolaget även fortsättningsvis fortlöpande uppfyller kraven för beräkningen av de försäkringstekniska avsättningarna, under beaktande av verksamhetens omfång, komplexitet och art. D.2.2 Riskmarginal S:t Erik Försäkring har beräknat sin riskmarginal i enlighet med metod 3 (EIOPA 14/166 p.1.113.). Riskmarginalen beräknas genom att använda den modifierade durationen på S:t Erik Försäkrings avsättningar, S:t Erik Försäkrings SCR vid t=0 och kapitalkostnadsräntan på 6 %. Riskmarginalen uppgår till 7 137 tkr (7 345 tkr). D.2.3 Skillnad mot legala redovisningen I den legala redovisningen (lagbegränsad IFRS) består FTA av odiskonterade avsättningar avseende skadereserver, redan inträffade fastställda skadereserver samt en statistisk skadereserv (IBNR). Enligt Solvens II består FTA av ovan beskrivna skade- och premiereserver samt en riskmarginal. FTA enligt redovisningen uppgår till 99 311 tkr (163 038 tkr). FTA enligt solvens 2 är 100 150 tkr (164 122 tkr) och skillnaden mot den legala således 839 tkr (1 084 tkr). FTA per försäkringsgren värderat enligt Solvens II är enligt nedan: • LoB 2 Olycksfall 42 978 tkr (44 915tkr) • LoB 7 Egendom 48 769 tkr (102 003 tkr) • LoB 8 Ansvar 8 403 tkr (17 204 tkr) D.3 Andra skulder S:t Erik Försäkrings andra skulder vid värderingstidpunkten framgår av nedanstående tabell. Lagstadgade Andra skulder 2025-12-31 (tkr) Solvens II räkenskaper Skillnad Skulder (leverantörsskulder, inte försäkring) 1 885 1 885 0 Övriga skulder som inte visas någon annanstans 6 404 6 404 0 8 289 8 289 0 D.3.1 Leverantörsskulder Leverantörsskulder uppgår till 1 885 tkr (3 260) och bedöms vara värderade till verkligt värde då de har en kort löptid. 27 (63) D.3.2 Övriga skulder Övriga skulder i den legala redovisningen bedöms vara värderade i linje med Solvens II- regelverket och tas upp i sin helhet. D.4 Alternativa värderingsmetoder Se D.1.1. D.5 Övrig information Ingen väsentlig övrig information föreligger. E. Finansiering Sammanfattande mått för S:t Erik Försäkrings kapitalisering visas i tabell nedan. Solvens- kapitalkravet (SCR) har ökat under perioden, vilket främst beror på högre kapitalkrav för teckningsrisk för skadeförsäkring. Minimikapitalkravet (MCR) uppgår till garantibeloppet. Den tillgängliga kapitalbasen har ökat under perioden. Den sammantagna effekten från minskad SCR och ökad kapitalbas medför att SCR-kvoten ökar under perioden, från 371% till 471%. Lagkravet för SCR-kvoten respektive MCR-kvoten om minst 100% är väl uppfyllt, likaså gäller för den övergripande risktoleransen som fastställts av styrelsen om att SCR-kvoten ska uppgå till minst 150%. Tabell: Kapitaliseringsmått Kapitaliseringsmått (tkr) 2025-12-31 2024-12-31 Solvenskapitalkrav (SCR) 70 989 85 026 Minimikapitalkrav (MCR) 43 700 46 523 Tillgänglig kapitalbas 334 671 315 639 Medräkningsbar kapitalbas SCR 334 671 315 639 Medräkningsbar kapitalbas MCR 334 671 315 639 SCR-kvot 4,71 3,71 MCR-kvot 7,66 6,78 E.1 Kapitalbas E.1.1 Mål Styrelsen har fastställt en övergripande risktolerans i form av att S:t Erik Försäkrings solvenskapitalkvot enligt Solvens II regelverket inte ska understiga 150%. Solvens- kapitalkravet beräknas härvid enligt regelverkets standardformel. S:t Erik Försäkring har en flerårsplan för affärsplanering och b‐udget som också utgör S:t Erik Försäkrings finansieringsplan på medellång sikt. Denna plan sträcker sig tre år framåt. S:t Erik Försäkring analyserar noggrant måluppfyllelsen i fråga om den övergripande risktoleransen under denna period. E.1.2 Principer Kapitalbasmedel omfattar summan av primärkapital och tilläggskapital. 28 (63) Primärkapitalet består av den positiva skillnaden mellan tillgångar och skulder, värderad enligt kapitel VI i SII-direktivet, samt efterställda skulder. Tilläggskapital består av poster utöver de i primärkapitalet och som kan krävas in för att täcka förluster. Tilläggskapitalet upptas således inte i solvensbalansräkningen och förhandsgranskas av Finansinspektionen innan de kan användas i kapitalbasen. Klassificering Posterna i kapitalbasen ska delas upp på tre nivåer. Klassificeringen av dessa poster ska vara beroende av om de är primärkapital eller tilläggskapital och i vilken omfattning de uppfyller följande egenskaper: • Posten är tillgänglig, eller kan infordras på begäran, för att i sin helhet förlustabsorbera, såväl i den löpande verksamheten som vid likvidation (permanent tillgänglighet). • Vid likvidation är postens hela belopp tillgängligt för att täcka förluster och posten får inte återbetalas till innehavaren förrän alla andra förpliktelser, däribland försäkrings- och återförsäkringsförpliktelser gentemot försäkringstagare och ersättningsberättigade enligt försäkrings- och återförsäkringsavtal, har uppfyllts (efterställdhet). Medräkningsbarhet Beroende på kapitalets kvalité gäller enligt nuvarande regelverk gränsvärden för medräkningsbara kapitalbasmedel. Gränsvärden SCR Följande kvantitativa gränsvärden gäller för medräkningsbara kapitalmedel avseende SCR: • Nivå 1-poster ska utgöra minst 50 % SCR • Summan av nivå 2- och 3-poster får inte överstiga 50 % av SCR Gränsvärden MCR Följande kvantitativa gränsvärden gäller för medräkningsbara kapitalmedel avseende MCR: • Nivå 1-poster ska vara minst 80 % av MCR • Nivå 2-poster ska vara mindre än 20 % av MCR. E.1.3 Processer Ekonomifunktionen ansvarar för att klassa kapitalbasmedel samt att kontrollera deras medräkningsbarhet enligt gällande rätt och därmed: 1. Klassificera kapitalbasposter före och vid utgivningstidpunkten samt: i. Inför beräkning av SCR/MCR ii. Vid legala förändringar iii. Vid förslag på aktieutdelning. 2. Kontrollera att kapitalbasposter inte belastats till följd av avtal eller anknutna transaktioner på ett sätt som påverkar dess medräkningsbarhet. 29 (63) 3. Säkerställa att avtalsvillkoren för kapitalbasposter uppfyller kriterierna för att kunna genomföra en klassificering och kontrollera postens medräkningsbarhet. 4. Tillse att eventuella förslag på aktieutdelningar beaktas vid bedömningen av kapitalsituationen. 5. I god tid meddela VD och styrelse om behov av tilläggskapital så att ägaren kan tillskjuta medel enligt finansieringsplanen på medellång sikt nedan. VD kontrollerar att fastställande och bedömning av kapitalbasposter sker i samband med beräkning av SCR/MCR, förslag till aktieutdelning m.m. Riskhanteringsfunktionen kontrollerar riskerna. Ekonomifunktionen rapporterar samtliga bedömningar till VD, riskhanteringsfunktionen samt i sin ekonomiska redovisning till styrelsen. Dessa funktioner rapporterar i sin tur till styrelsen i enlighet med sina instruktioner. E.1.4 Struktur, storlek och kvalité S:t Erik Försäkring har primärkapital i nivå 1. E.1.4.1 Nivå 1 Aktiekapital S:t Erik Försäkrings aktiekapital har inga begränsningar och är i enlighet med SII- förordningen klassat som primärkapital nivå 1 (artikel 69 a-i). Posten finns med i förteckningen (artikel 69) och uppfyller särdragen som specificeras i artikel 71 och främst är det ett inbetalt stamaktiekapital och den prioriteras efter alla andra fordringar i händelse av likvidationsförfaranden för S:t Erik Försäkring. S:t Erik Försäkring har full flexibilitet i fråga om utskiftning (det finns inga begränsningar i hur utskifte skall ske). Ägaren är Stockholm Stadshus AB och aktiekapitalet består av 100 000 A-aktier till ett värde av 100 000 tkr. Avstämningsreserv Avstämningsreserven motsvarar den sammanlagda skillnaden mellan tillgångar och skulder minskat med aktiekapital enligt ovan. I enlighet med punkt 1.5 i Riktlinjer för klassificering av kapitalbasen (14/168) ska balanserade vinstmedel vara en del av avstämningsreserven. Utöver detta ska även förutsebara utdelningar, utskiftningar och avgifter reduceras från posten. Avseende förutsebara kostnader bör S:t Erik Försäkring främst ta hänsyn till förutsebara och inte redan redovisade skattebelopp. Fastställandet av huruvida och i vilken omfattning avstämningsreserven uppvisar de särdrag som anges i artikel 71 ska inte innebära en bedömning av särdragen hos de tillgångar och skulder som ingår i beräkningen av hur mycket tillgångarna överstiger skulderna eller de underliggande posterna i företagens finansiella redovisning (SII-förordningen artikel 70.3). I enlighet med S:t Erik Försäkrings bolagsordning står S:t Erik Försäkrings vinst till årsstämmans förfogande där ägaren har rätt att besluta om disponering. Eventuella förutsebara utdelningar ska reduceras i avstämningsreserven, och S:t Erik Försäkring bör betrakta utdelningen som förutsebar senast när den är deklarerad eller godkänd av styrelsen, oavsett krav på att det ska godkännas vid årsstämman. 30 (63) S:t Erik Försäkring säkerhetsreserv enligt redovisningen är en del av avstämningsreserven i kapitalbasen. S:t Erik Försäkring ska i samband med sin Solvens 2-rapportering göra en bedömning om uppskjuten skatt kan anses föreligga för säkerhetsreserven. Om S:t Erik Försäkring gör bedömningen att en uppskjuten skatteskuld föreligger för säkerhetsreserven ska en sådan redovisas i Solvens 2-balansräkningen, i annat fall redovisas inte någon uppskjuten skatteskuld hänförlig till säkerhetsreserven. En sådan skuldföring innebär även att avstämningsreserven minskar med motsvarande belopp. Avstämningsreserven utgör primärkapital i nivå 1. S:t Erik Försäkring har gjort bedömningen att säkerhetsreserven inte kommer att behöva upplösas under det närmast kommande verksamhetsåret och justering har därför inte skett för uppskjuten skatt. S:t Erik Försäkring har inte förutsett en utdelning av balanserade vinstmedel och därför inte justerat avstämningsreserven. S:t Erik Försäkrings avstämningsreserv utgörs av poster enligt nedan tabell. Avstämningsreserv (tkr) 2025-12-31 2024-12-31 Reservfond 5 900 5 900 Balanserade vinstmedel 138 766 125 978 Årets resultat 26 373 12 788 Säkerhetsreserv 64 747 72 479 Effekt av omvärdering enligt avsnitt D. 1 115 1 506 234 671 215 639 E.1.5 Medräkningsbar kapitalbas för att täcka SCR och MCR Medräkningsbar kapitalbas för att täcka SCR (tkr) 2025-12-31 2024-12-31 Nivå 1 - Aktiekapital 100 000 100 000 Nivå 1 - Avstämningsreserv 234 671 215 639 Nivå 2 - Garanti från moderbolag. 0 0 334 671 315 639 Medräkningsbar kapitalbas för att täcka MCR (tkr) 2025-12-31 2024-12-31 Nivå 1 - Aktiekapital 100 000 100 000 Nivå 1 - Avstämningsreserv 234 671 215 639 334 671 315 639 E.2 Solvenskapitalkrav och minimikapitalkrav S:t Erik Försäkring använder standardformeln beräkning av solvenskapitalkravet (SCR). S:t Erik Försäkring tillämpar för beräkning av den riskreducerande effekten för motpartsrisk den förenklade beräkningsmetoden enligt artikel 107 i förordning (EU) 2015/35. I övrigt tillämpas inga förenklingar eller övergångsregler i beräkningen av kapitalkraven. S:t Erik Försäkring använder inga företagsspecifika parametrar. 31 (63) S:t Erik Försäkrings kapitalkrav per 31 december 2025 och 2024 redovisas i tabell nedan. Totalt SCR har minskat sedan föregående år vilket i allt väsentligt beror på att kapitalkravet för motpartsrisk och teckningsrisk har minskat. Motpartsrisken påverkas av ratingen hos återförsäkringsbolagen och att en större andel av återförsäkringsbeloppen är placerade hos motparter med högre kreditvärdighet ger en lägre motpartsrisk. Vad gäller teckningsrisken har premier och reserver inom affärsområdet ”Fire and other property damage” minskat, vilket har bidragit till ett lägre kapitalkrav. Tabell: Solvenskapitalkrav Solvenskapitalkrav (tkr) 2025-12-31 2024-12-31 Marknadsrisk 2 289 2 791 Motpartsrisk 20 245 27 646 Teckningsrisk för sjukförsäkring 20 519 21 270 Teckningsrisk för skadeförsäkring 46 696 55 804 Diversifiering -24 406 -28 003 Primärt solvenskapitalkrav 65 344 79 508 Operativ risk 5 645 5 518 Solvenskapitalkrav 70 989 85 026 Minimikapitalkravet (MCR) för S:t Erik Försäkring är per 31 december 2025 respektive per 31 december 2024 motsvarande garantibeloppet, vilket uppgick till 43 700 tkr respektive 46 523 tkr. För ytterligare detaljer i beräkningen av MCR, se bilagans blankett S.28.01. Inga väsentliga förändringar i underliggande resultat i fråga om MCR har skett under 2025. E.3 Durationsbaserad aktiekursrisk S:t Erik Försäkring använder inte metoden för durationsbaserad aktiekursrisk. S:t Erik Försäkring innehar överhuvudtaget inte några aktier. E.4 Skillnader mellan standardformalen och använda interna modeller Inga interna modeller används. E.5 Överträdelse av minimikapitalkravet och solvenskapitalkravet S:t Erik Försäkring har inte brustit i efterlevnad av något kapitalkrav under 2023. E.6 Övrig information om S:t Erik Försäkrings finansiering S:t Erik Försäkring har ingen övrig materiell information avseende S:t Erik Försäkrings finansiering att redovisa. Bilagor till SFCR-rapport; QRT S.02.01.02 (Balansräkning) S.05.01.02 (Premier, skador och kostnader) S.17.01.02 (Försäkringstekniska avsättningar (Skadeförsäkring)) S.19.01.21(Skadekostnader i skadeförsäkring (Utvecklingstrianglar)) S.23.01.01(Kapitalbas) S.25.01.21(Solvenskapitalkrav (Standardformeln)) S.28.01.01(Minimikapitalkrav (Endast Liv eller Skade)) 32 (63) 33 (63) 34 (63) 35 (63) 36 (63) 37 (63) 38 (63) 39 (63) 40 (63) 41 (63) 42 (63) 43 (63) 44 (63) 45 (63) 46 (63) 47 (63) 48 (63) 49 (63) 50 (63) 51 (63) 52 (63) 53 (63) 54 (63) 55 (63) 56 (63) 57 (63) 58 (63) 59 (63) 60 (63) 61 (63) 62 (63) 63 (63) --- [Rapport om översyn av IKT-riskhanteringsramen St Erik försäkring_V.05.pdf] Rapport om översyn av IKT- riskhanteringsramverket S:t Erik Försäkrings AB Kommentar [MA1]: Låt vara i Advisense mall (Artikel 6.5 i förordning (EU) 2022/2554 (DORA) och format/innehåll enligt RTS 2024/1774 artikel 27) Granskningsperiod: 2026-01-01 – 2026-02-28 Datum för upprättande: 2026-03-09 Ansvarig funktion: Riskfunktionen Fastställd av styrelsen: 2026-03-27 Innehåll 1. Inledning ............................................................................................................................................................3 1.1. Om S:t Erik och syfte med rapporten ........................................................................................................3 1.2. Definitioner .......................................................................................................................................................3 1.3. Kontext – art, omfattning och komplexitet samt beroenden ..............................................................4 1.4. Kritiska eller viktiga funktioner ..................................................................................................................4 1.5. Beroenden av IKT-tjänster och system .....................................................................................................4 2. Sammanfattning ..............................................................................................................................................5 2.1. Övergripande IKT-riskprofil .........................................................................................................................5 2.2. Hotbild ...............................................................................................................................................................6 2.3. Samlad bedömning av digital operativ motståndskraft .......................................................................6 3. Bakgrund och skäl till översynen ...............................................................................................................7 3.1. Skäl till översyn ...............................................................................................................................................7 3.2. IKT-relaterade incidenter under perioden ...............................................................................................8 www.advisense.com 4. Ansvar och metod ...........................................................................................................................................8 4.1. Funktion ansvarig för översynen ................................................................................................................8 4.2. Metod och struktur ........................................................................................................................................8 4.2.1. Metod .............................................................................................................................................................8 4.2.2. Struktur .........................................................................................................................................................8 5. Större förändringar och förbättringar sedan föregående översyn (inkl. påverkan) ....................9 6. Resultat av översyn per förmåga ...............................................................................................................9 6.1. Styrning ...........................................................................................................................................................10 6.2. Identifiera .......................................................................................................................................................10 6.3. Skydda och Upptäcka ..................................................................................................................................10 6.4. Åtgärda och återställa ................................................................................................................................10 6.5. Bedömning av digital operativ motståndskraft ....................................................................................11 6.5.1. Samlad analys ...........................................................................................................................................11 6.5.2. Bedömning av mognad per förmåga ....................................................................................................11 6.5.3. Samlad mognadsbedömning ..................................................................................................................12 7. Sammanfattning av iakttagelser ..............................................................................................................12 7.1. Tydlig ansvarsfördelning och oberoende uppföljning ........................................................................12 7.2. Beroendekartläggning och spårbarhet mellan funktion–system–leverantör ..............................13 7.3. Leverantörsuppföljning och verifierbarhet ...........................................................................................13 7.4. Testning av incident- och kontinuitetsförmåga ....................................................................................13 8. Kontroll funktioners (Internrevisionens) iakttagelser och rekommendationer ...........................13 9. Slutsatser från översynen ..........................................................................................................................14 Bilaga – detaljerad åtgärdsplan .............................................................................................................................15 ADVISENSE ÖSTERMALMSTORG 1 2 (15) 114 42, STOCKHOLM SWEDEN 1. Inledning 1.1. Om S:t Erik och syfte med rapporten Denna rapport avser S:t Erik Försäkrings AB (“Bolaget”), org.nr 516401-7948, och utgör den årliga översynen av Bolagets IKT-riskhanteringsramverk i enlighet med DORA artikel 6.5 samt RTS 2024/1774 artikel 27. S:t Erik Försäkrings AB ägs till 100 procent av Stockholms Stadshus AB, som i sin tur är helägt av Stockholms stad. Bolaget bedriver direktförsäkringsverksamhet för Stockholms stads förvaltningar och närstående bolag inom områdena egendom, ansvar och olycksfall. Övriga försäkringar som kommunkoncernen har behov av upphandlas av Bolaget från externa försäkringsgivare. Rapporten syftar till att: • bedöma effektiviteten i Bolagets IKT-riskhanteringsramverk, • identifiera svagheter, brister och utvecklingsområden, samt • ge styrelsen en samlad bedömning av Bolagets digitala operativa motståndskraft. 1.2. Definitioner Kommentar [MA2]: Lägg till definitionen av IKT. • IKT (Informations- och kommunikationsteknik) Teknik, system och tjänster som används för att behandla, lagra, överföra eller skydda information, inklusive nätverk, hårdvara, mjukvara och molnbaserade lösningar. • IKT-risk Risken för negativ påverkan på verksamheten till följd av brister, störningar eller angrepp mot nätverks- och informationssystem. • Digital operativ motståndskraft Bolagets förmåga att förebygga, upptäcka, hantera och återhämta sig från IKT-relaterade incidenter så att kritiska eller viktiga funktioner kan upprätthållas. • Förmåga Den samlade kapaciteten inom ett område av IKT-riskhantering (styrning, identifiera, skydda/upptäcka, åtgärda/återställa), bedömd utifrån processer, kontroller och uppföljning. • Kritisk eller viktig funktion En verksamhetsfunktion vars avbrott kan få betydande negativ påverkan på Bolagets verksamhet, regelefterlevnad eller förtroende. • BIA (Business impact anlaysis) En strukturerad analys för att identifiera kritiska eller viktiga funktioner samt bedöma konsekvenser och acceptabla avbrottstider (t.ex. RTO/RPO) vid störningar i verksamheten. • IKT-tillgång En teknisk eller informationsrelaterad resurs som stödjer verksamheten, exempelvis system, databaser eller molntjänster. ADVISENSE ÖSTERMALMSTORG 1 3 (15) 114 42, STOCKHOLM SWEDEN • IKT-system Ett sammanhängande system av hårdvara, mjukvara och nätverk som behandlar eller lagrar information och stödjer verksamhetsfunktioner. • IKT-tjänst En tjänst som helt eller delvis bygger på IKT-system och som tillhandahålls internt eller av extern leverantör för att stödja verksamheten (t.ex. molntjänster, drift, applikationstjänster). 1.3. Kontext – art, omfattning och komplexitet samt beroenden S:t Erik Försäkring är en mindre organisation med begränsad egen IT-drift. Bolagets IT-miljö är, med undantag för försäkringssystemet Insman, integrerad i Stockholms stads gemensamma IT-struktur. Detta innebär att: • upphandling, drift, teknisk säkerhet och övergripande kontroller i stor utsträckning hanteras av Stockholms stad, • Bolagets roll primärt är kravställande, uppföljande och riskbedömande, • Bolagets möjlighet till självständig verifiering av tekniska kontroller är beroende av stadens kontrollfunktion. Bolaget omfattas av stadsgemensamma upphandlingar av IT, ekonomi och vissa andra tjänster. Hantering av IT-avtal och kontroller sker genom fullmakt till Stockholms stad. Bedömningen av ramverkets effektivitet har genomförts proportionerligt utifrån verksamhetens art, omfattning och komplexitet. 1.4. Kritiska eller viktiga funktioner Mot bakgrund av verksamhetens art och proportionalitet har följande funktioner identifierats som kritiska eller viktiga: • Försäkringsadministration (försäkring, återförsäkring, RM) • Skadehantering • Finansiell och regulatorisk rapportering (ekonomi, FI m.m.) 1.5. Beroenden av IKT-tjänster och system Bolagets verksamhet är i hög grad beroende av ett begränsat antal centrala IKT-system och tjänster som direkt stödjer identifierade kritiska eller viktiga funktioner. Dessa utgörs främst av: • INSMAN (försäkringssystem), • IA (incidentrapporteringssystem), ADVISENSE ÖSTERMALMSTORG 1 4 (15) 114 42, STOCKHOLM SWEDEN • Agresso (ekonomisystem), • Standardiserade kontors- och kommunikationsverktyg, • Stadens gemensamma infrastruktur och IT-tjänster. Dessa system är integrerade i Bolagets löpande verksamhet och utgör en förutsättning för att kunna upprätthålla såväl operativa processer som regulatoriska åtaganden. En väsentlig del av den tekniska driften och säkerhetskontrollerna är centraliserade inom Stockholms stad, vilket innebär att Bolagets digitala operativa motståndskraft är nära kopplad till stadens samlade IT-förmåga. En total förlust eller allvarlig degradering av dessa tjänster skulle kunna leda till: • Förseningar i skadehantering och försäkringsadministration • Brister i finansiell och regulatorisk rapportering • Ökad operativ och reputationsmässig risk • Behov av manuella reservrutiner Sammantaget innebär detta att Bolagets IKT-beroenden är koncentrerade till ett fåtal centrala system samt till Stockholms stads gemensamma IT-miljö. Detta medför en strukturell koncentrationsrisk, då störningar i stadens infrastruktur kan få direkt påverkan på Bolagets verksamhet. Samtidigt innebär beroendet av Stockholms stad att Bolaget omfattas av en större och mer resursstark IT-organisation med etablerade skydds-, övervaknings- och beredskapsfunktioner. Detta ger tillgång till stordriftsfördelar, specialiserad kompetens och centraliserade säkerhetsåtgärder, vilket sammantaget bidrar till en högre teknisk skyddsnivå än vad Bolaget proportionerligt skulle kunna upprätthålla i egen regi. 2. Sammanfattning 2.1. Övergripande IKT-riskprofil Bolagets övergripande IKT-riskprofil ska förstås i ljuset av verksamhetens storlek, begränsade egen IT-drift samt det starka beroendet av Stockholms stads gemensamma IT-miljö och externa leverantörer. Riskbilden präglas i första hand av beroende- och koncentrationsdimensioner snarare än av komplex intern teknisk miljö. Bolagets huvudsakliga IKT-risker utgörs av: • Cybersäkerhetsrisk, särskilt kopplad till otillbörlig åtkomst, dataintrång och nätfiske. Risken är nära förknippad med identitets- och behörighetshantering samt beroendet av gemensamma plattformar och molnbaserade tjänster. Även om Bolaget hanterar begränsade mängder känsliga personuppgifter kan ett intrång få betydande påverkan på förtroende, regelefterlevnad och verksamhetens kontinuitet. ADVISENSE ÖSTERMALMSTORG 1 5 (15) 114 42, STOCKHOLM SWEDEN • Avbrotts- och tillgänglighetsrisk, kopplad till stadens gemensamma IT-miljö och utlagda system såsom försäkringssystemet och ekonomisystemet. Eftersom Bolaget har begränsad egen driftmiljö är kontinuiteten i hög grad beroende av extern infrastruktur och centraliserade tjänster. Störningar i dessa kan påverka skadehantering, försäkringsadministration och rapportering. • Leverantörs- och beroenderisk, särskilt kopplad till Stockholms stad och externa aktörer. Denna riskdimension avser inte enbart tekniskt beroende, utan även begränsad insyn och verifierbarhet i uppföljningen av kontroller. Bolagets möjlighet att självständigt bedöma effektiviteten i vissa tekniska skydds- och detektionsåtgärder är i delar beroende av rapportering från stadens kontrollfunktion och externa leverantörer. Den samlade riskprofilen bedöms som låg till medel. Bolaget har en relativt begränsad och standardiserad IT-miljö, vilket reducerar komplexiteten. Samtidigt föreligger en strukturell koncentrationsrisk och en verifierbarhetsutmaning till följd av det starka beroendet av stadens IT- funktion och externa leverantörer. Riskprofilen bedöms därmed vara hanterbar, men beroende av att styrning, uppföljning och testning sker systematiskt och proportionerligt i relation till identifierade kritiska eller viktiga funktioner. 2.2. Hotbild Hotbilden omfattar såväl fysiska som digitala och informationsrelaterade hot. Känsligheten för störningar i samhällsviktiga funktioner ökar i takt med den tekniska utvecklingen och det ökade beroendet av digital infrastruktur. Samtidigt har informations- och kommunikationsmönstren blivit snabbare och mer svåröverskådliga, vilket skapar förutsättningar för desinformationskampanjer och andra former av informationspåverkan i syfte att undergräva tillit till offentliga aktörer och demokratiska institutioner. Ur ett IKT- och DORA-perspektiv innebär detta att cyberangrepp, sabotage eller störningar riktade mot stadens gemensamma IT-miljö kan få indirekt påverkan på Bolagets verksamhet. För S:t Erik Försäkring innebär detta att hotbilden inte kan analyseras isolerat utifrån bolagets egen storlek och exponering, utan måste förstås i kontexten av Stockholms stads samlade hotbild. Bolagets digitala operativa motståndskraft är därmed indirekt kopplad till stadens förmåga att skydda, upptäcka och hantera antagonistiska hot mot samhällsviktig infrastruktur. Sammantaget bedöms hotbilden vara förhöjd i ett övergripande samhällsperspektiv, även om Bolagets direkta exponering är begränsad. Detta understryker vikten av tydlig styrning, systematisk uppföljning av leverantörsberoenden samt dokumenterad testning av kontinuitets- och incidenthanteringsförmåga. 2.3. Samlad bedömning av digital operativ motståndskraft Mot bakgrund av den identifierade IKT-riskprofilen och den övergripande hotbilden har Bolagets digitala operativa motståndskraft bedömts genom en förmågebaserad analys (se avsnitt 6). ADVISENSE ÖSTERMALMSTORG 1 6 (15) 114 42, STOCKHOLM SWEDEN Översynen visar att Bolaget har etablerat grundläggande strukturer och processer för hantering av IKT-risker, inklusive styrande dokument, årlig riskbedömning, verksamhetskonsekvensanalys (BIA) samt dokumenterade incident- och kontinuitetsrutiner. För det verksamhetskritiska försäkringssystemet Insman föreligger god insyn och styrbarhet genom eget avtal och uppföljning. Samtidigt präglas den samlade bedömningen av ett strukturellt beroende av Stockholms stads gemensamma IT-miljö och externa leverantörer. Detta medför att Bolagets kvarstående IKT-risker i huvudsak är kopplade till: • begränsad självständig verifierbarhet av centralt driftade system, • avsaknad av formaliserad oberoende uppföljning av IKT-riskhanteringsramverket, • behov av mer systematisk och dokumenterad testning av kritiska förmågor. Den samlade mognadsbedömningen per förmåga (se avsnitt 6.5) ligger på nivån Etablerad, vilket innebär att förmågorna är implementerade och i huvudsak fungerar operativt, men att identifierade förbättringsområden behöver hanteras för att stärka verifierbarhet och systematik. Bolagets digitala operativa motståndskraft bedöms därmed vara proportionerlig och tillräcklig i nuläget, men utvecklingsbar. De föreslagna åtgärderna syftar främst till att höja mognadsnivån genom stärkt styrning, dokumentation, uppföljning och testning snarare än att införa helt nya kontrollområden. Genom att genomföra åtgärdsplanen bedöms Bolaget kunna öka graden av verifierbar och dokumenterad digital operativ motståndskraft, minska beroenderelaterad osäkerhet samt tydligare kunna styrka efterlevnad av DORA vid en eventuell tillsyn. 3. Bakgrund och skäl till översynen 3.1. Skäl till översyn Översynen har genomförts som en årlig översyn i enlighet med artikel 6.5 i DORA samt de krav på innehåll och struktur som anges i RTS 2024/1774 artikel 27. Enligt DORA åligger det ledningsorganet att regelbundet granska och utvärdera effektiviteten i den finansiella entitetens ramverk för hantering av IKT-risker. Syftet med översynen är att: • bedöma om Bolagets IKT-riskhanteringsramverk är ändamålsenligt, proportionerligt och anpassat till verksamhetens art, omfattning och komplexitet, • identifiera svagheter, brister och gap i ramverkets utformning eller tillämpning, • utvärdera om fastställda kontroller och processer fungerar i praktiken, • säkerställa att Bolaget upprätthåller tillräcklig digital operativ motståndskraft i förhållande till identifierad IKT-riskprofil och aktuell hotbild. ADVISENSE ÖSTERMALMSTORG 1 7 (15) 114 42, STOCKHOLM SWEDEN Översynen utgör en del av Bolagets systematiska arbete med intern styrning och kontroll och ska ge styrelsen ett samlat underlag för att bedöma om ytterligare åtgärder, prioriteringar eller resursförstärkningar är nödvändiga. 3.2. IKT-relaterade incidenter under perioden Under perioden har inga väsentliga IKT-incidenter som allvarligt påverkat kritiska eller viktiga funktioner dokumenterats. 4. Ansvar och metod 4.1. Funktion ansvarig för översynen Översynen har genomförts av riskfunktionen i samverkan med första linjen. Oberoende har säkerställts genom att den samlade bedömningen har sammanställts utan operativt linjeansvar för de bedömningar som gjorts. 4.2. Metod och struktur 4.2.1. Metod Metoden bygger på: • workshop med första linjen (matrisgenomgång), • intervjuer med nyckelpersoner, • granskning av styrande dokument, riskregister, IKT-tillgångsregister och BIA analys samt evidens där sådan funnits. Bedömningen har genomförts proportionerligt och riskbaserat utifrån Bolagets IKT-riskprofil och beroenden. 4.2.2. Struktur Översynen av Bolagets IKT-riskhanteringsramverk, samt den därav följande bedömningen av Bolagets digitala operativa motståndskraft, har strukturerats i enlighet med etablerad praxis och med utgångspunkt i NIST-ramverkets huvudområden för hantering av IKT-risk. Den förmågebaserade strukturen möjliggör en samlad och systematisk bedömning av såväl styrning och riskidentifiering som förebyggande, detekterande och återställande åtgärder. Genom att använda NIST:s huvudområden som analysram säkerställs en tydlig koppling mellan identifierad IKT-riskprofil, befintliga kontroller och Bolagets faktiska förmåga att upprätthålla digital operativ motståndskraft i enlighet med DORA:s krav. Bedömningen baseras på en genomgång av följande förmågor: • Styrning: Förmågan att fastställa ramar, krav och en ändamålsenlig styrmodell för hantering av IKT-risker. ADVISENSE ÖSTERMALMSTORG 1 8 (15) 114 42, STOCKHOLM SWEDEN • Identifiera: Förmågan att förstå verksamhetens värden, kritiska eller viktiga funktioner samt beroenden och risker kopplade till dessa. • Skydda och upptäcka: Förmågan att begränsa sannolikheten för och effekten av IKT- relaterade hot genom förebyggande och detekterande tekniska och organisatoriska åtgärder. • Åtgärda och återställa: Förmågan att hantera IKT-incidenter på ett kontrollerat sätt samt att återställa verksamheten efter en störning. 5. Större förändringar och förbättringar sedan föregående översyn (inkl. påverkan) Eftersom detta är S:t Eriks första rapport avser “föregående översyn” den senaste interna uppföljningen och utvecklingen av ramverket under perioden. Följande större förändringar och förbättringar har identifierats under granskningsperioden samt i jämförelse med tidigare interna arbetssätt och underlag på IKT-området. Eftersom detta är Bolagets första rapport enligt DORA/RTS artikel 27 avser ”föregående översyn” i detta avsnitt den föregående interna uppföljningen/översynen av IKT-området och den utveckling som skett under perioden. 1. Förbättringsarbete avseende integrationer mellan Insman och Agresso Påverkan: minskar risk för felaktig data i intern rapportering och risk för brister i datakvalitet/integrationer. Påverkan på internkontroll: stärker kvalitet i underlag och kontroller kopplade till rapportering. 2. Pågående arbete med kontrollprocesser för utlagd IT-verksamhet Påverkan: stärker styrning och uppföljning gentemot leverantörer samt stärker förmågan att upptäcka och hantera risker kopplade till brister/incidenter i utlagda tjänster. 3. Behörighetskontroller och revisioner (t.ex. behörighetsrevision införd enligt riskregistret) Påverkan: stärker skyddsförmåga och intern kontroll av åtkomst. Sammantaget påverkar förändringarna den digitala operativa motståndskraften främst genom ökad kontroll av dataflöden och förbättrad uppföljning av leverantörsberoenden. 6. Resultat av översyn per förmåga Nedan redovisas översynens viktigaste iakttagelser per förmåga, baserat på genomförda workshops, intervjuer och granskning av tillgängligt underlag. För varje förmåga beskrivs nuläge, identifierade svagheter och brister samt i vilken utsträckning Bolaget har möjlighet att verifiera att fastställda krav fungerar som avsett i praktiken. Identifierade förbättringsbehov ligger till grund för de åtgärder som sammanställs i bilagan. ADVISENSE ÖSTERMALMSTORG 1 9 (15) 114 42, STOCKHOLM SWEDEN De observationer som framkommer i analysen av respektive förmåga redovisas översiktligt i detta avsnitt. För en mer detaljerad redogörelse av identifierade iakttagelser och tillhörande bedömningar hänvisas till avsnitt 7. 6.1. Styrning S:t Erik Försäkring har etablerat ett grundläggande ramverk för styrning av IKT-risker. En IKT-riktlinje är fastställd och utgör den övergripande strukturen för ansvarsfördelning, efterlevnad av tillämplig reglering samt hänvisningar till övriga styrande dokument inom IKT-området. Avtalsgenomgångar genomförs årligen och styrelsen erhåller regelbunden rapportering om IKT-relaterade frågor. Översynen visar samtidigt att styrningsmodellen kan utvecklas, särskilt vad gäller tydliggörande av rollfördelning mellan första och andra försvarslinjen samt etablering av en formaliserad oberoende kontrollfunktion. Riskaptit och risktoleranser är i huvudsak kvalitativt formulerade och skulle kunna kompletteras med mer mätbara indikatorer. 6.2. Identifiera Bolaget genomför årligen verksamhetskonsekvensanalyser (BIA) och IKT-riskbedömningar för att identifiera kritiska processer, tillgångar och risker. Register över IKT-tillgångar och leverantörer finns dokumenterade. Översynen visar dock att dokumentationen i vissa delar är fragmenterad och att kopplingen mellan affärsprocesser, system och leverantörer kan göras mer överskådlig. En tydligare beroendekartläggning skulle stärka Bolagets förmåga att förstå beroendet till olika system och konsekvenserna av avbrott, samt snabbt bedöma påverkan och prioritera åtgärder vid incident. 6.3. Skydda och Upptäcka Bolaget har infört grundläggande skyddsåtgärder, såsom årlig säkerhetsutbildning och rutiner för behörighetshantering. Mer avancerade tekniska säkerhetsåtgärder implementeras i huvudsak av leverantörer och inom Stockholms stads gemensamma IT-miljö. Bolagets möjligheter att självständigt verifiera att skyddsåtgärder och detektionsförmåga fungerar som avsett är dock begränsade, särskilt avseende centralt driftade system. Uppföljning och testning sker i stor utsträckning inom stadens kontrollfunktion, vilket medför att verifierbarheten varierar beroende på system. 6.4. Åtgärda och återställa Incident- och kontinuitetsplaner är dokumenterade och kända i organisationen. Bolaget har även avtalsreglerade exit-strategier gentemot leverantörer. Översynen visar dock att testning och dokumenterad uppföljning inte genomförs fullt ut systematiskt. För att stärka den praktiska verifieringen av återställningsförmågan behöver testning formaliseras och dokumenteras mer konsekvent. ADVISENSE ÖSTERMALMSTORG 1 10 (15) 114 42, STOCKHOLM SWEDEN 6.5. Bedömning av digital operativ motståndskraft 6.5.1. Samlad analys För att uppfylla DORA:s krav och säkerställa tillräcklig digital operativ motståndskraft behöver Bolaget samtliga ovanstående förmågor. Det mest kritiska systemet för verksamheten är försäkringssystemet Insman, som direkt stödjer försäkringsadministration och skadehantering. Avseende detta system har Bolaget eget avtal och full insyn i leverantörens åtaganden, vilket ger en relativt god styrbarhet och kontroll. Ekonomisystem, e-post och övrig datahantering driftas däremot inom Stockholms stads gemensamma IT-miljö. Detta innebär att Bolagets kontinuitet och informationssäkerhet i dessa delar är beroende av stadens tekniska och organisatoriska skyddsåtgärder. Den praktiska kontrollbilden är därmed differentierad: • Direkt kontroll och insyn avseende Insman. • Indirekt kontroll och begränsad verifierbarhet avseende centralt driftade system. Sammantaget finns grundläggande strukturer på plats, men beroendet av stadens IT-leveranser medför att verifierbarheten varierar mellan system och förmågor. 6.5.2. Bedömning av mognad per förmåga För att bedöma hur väl respektive förmåga fungerar används en tregradig mognadsskala: • Grundläggande – strukturer och kontroller finns, men är inte fullt systematiskt implementerade eller verifierade. • Etablerad – förmågan är i huvudsak implementerad och fungerar operativt, men utvecklingsområden kvarstår. • God – förmågan är väl implementerad, systematiskt uppföljd och verifierad genom testning och dokumentation. Mognadsbedömningen avser effektivitet i förmågan och är inte samma skala som allvarlighetsgrad (Låg/Medel/Hög) i avsnitt 7. En bedömning på nivån Etablerad innebär att förmågan är tillräcklig i nuläget och att verksamheten fungerar, men att mognaden kan höjas genom ytterligare systematik, dokumentation eller testning. Bedömningen för respektive förmåga är följande: • Styrning: Etablerad – styrande dokument och rapportering finns, men oberoende kontrollfunktion saknas och riskaptiten är huvudsakligen kvalitativ. • Identifiera: Etablerad – BIA och register finns, men beroendekartor och dokumentation kan förtydligas. ADVISENSE ÖSTERMALMSTORG 1 11 (15) 114 42, STOCKHOLM SWEDEN • Skydda och upptäcka: Etablerad – tekniska kontroller är i huvudsak på plats via stadens IT- miljö, men verifierbarheten är begränsad i vissa delar. • Åtgärda och återställa: Etablerad – planer finns, men testning och dokumenterad uppföljning behöver formaliseras. 6.5.3. Samlad mognadsbedömning Den samlade mognadsnivån för Bolagets digitala operativa motståndskraft bedöms vara Etablerad. Det innebär att ramverket fungerar och är proportionerligt i förhållande till verksamhetens art och komplexitet, men att identifierade förbättringsområden behöver hanteras för att stärka verifierbarhet och systematik. 7. Sammanfattning av iakttagelser Baserat på genomförd översyn – inklusive workshop, dokumentgranskning och förmågebedömning – bedöms följande utvecklingsområden vara mest väsentliga för Bolagets fortsatta mognad inom digital operativ motståndskraft. Bedömningen av allvarlighetsgrad (Låg/Medel/Hög) avser en samlad värdering av: • påverkan på kritiska eller viktiga funktioner, • sannolikhet samt • graden av verifierbarhet (dvs. i vilken utsträckning förmågans funktion kan styrkas genom dokumentation, uppföljning och testning). Observera att denna skala avser risk och påverkan, och skiljer sig från mognadsbedömningen i avsnitt 6.5. Allvarlighetsgrad kan bli Hög även om sannolikheten inte bedöms hög, om påverkan på kritiska/viktiga funktioner är betydande eller om verifierbarheten är otillräcklig för kritiska beroenden. 7.1. Tydlig ansvarsfördelning och oberoende uppföljning Bolaget saknar i nuläget en tydligt formaliserad och dokumenterad oberoende kontrollfunktion avseende IKT-riskhantering. Även om ansvar i praktiken är fördelat och IKT-frågor behandlas löpande, är rollfördelningen mellan första och andra försvarslinjen inte fullt ut operationaliserad. Detta innebär en risk för att uppföljning och kontroll huvudsakligen sker i linjen, vilket kan begränsa den systematiska verifieringen av att fastställda krav och kontroller fungerar över tid. Allvarlighetsgraden bedöms som Medel, då grundläggande styrning finns på plats, men den oberoende uppföljningen behöver stärkas för att fullt ut uppfylla DORA:s krav. ADVISENSE ÖSTERMALMSTORG 1 12 (15) 114 42, STOCKHOLM SWEDEN 7.2. Beroendekartläggning och spårbarhet mellan funktion–system–leverantör Dokumentation av kritiska funktioner, IKT-tillgångar och leverantörer finns, men kopplingen mellan dessa kan förtydligas och göras mer operativ. En mer sammanhållen och lättillgänglig beroendekarta skulle stärka Bolagets förmåga att: • snabbt bedöma påverkan vid incident, • prioritera återställningsåtgärder, • tydligare koppla IKT-risker till verksamhetsrisker. Allvarlighetsgraden bedöms som Medel, då bristen främst påverkar effektivitet och tydlighet vid incidenthantering snarare än att innebära ett omedelbart kontrollgap. 7.3. Leverantörsuppföljning och verifierbarhet Bolagets digitala operativa motståndskraft är i hög grad beroende av Stockholms stads gemensamma IT-miljö. Detta medför att flera skydds-, detektions- och återställningskontroller ligger utanför Bolagets direkta operativa kontroll. Den kvarstående risken är därför främst kopplad till begränsad verifierbarhet, dvs. Bolagets möjlighet att självständigt säkerställa att kontroller fungerar som avsett genom tillgång till uppföljningsrapporter och evidens. Allvarlighetsgraden bedöms som Medel, då kontrollmiljö i praktiken finns, men verifierbarheten och uppföljningsstrukturen behöver stärkas. 7.4. Testning av incident- och kontinuitetsförmåga Incident- och kontinuitetsplaner finns dokumenterade, men testning och dokumenterad uppföljning sker inte fullt ut systematiskt. Bolagets praktiska verifiering av digital operativ motståndskraft skulle stärkas genom regelbunden och dokumenterad testning av:: • incidenthanteringsprocessen, • avbrottsplaner, • återställningsförmåga för kritiska system, Allvarlighetsgraden bedöms som Medel, då bristen avser systematik och verifierbarhet snarare än avsaknad av grundläggande planer. 8. Kontroll funktioners (Internrevisionens) iakttagelser och rekommendationer ADVISENSE ÖSTERMALMSTORG 1 13 (15) 114 42, STOCKHOLM SWEDEN Som en del av översynen har Bolaget beaktat internrevisionens granskning av IKT-tredjepartsrisker. Internrevisionen har lämnat fyra rekommendationer, varav en med riskklassificering Medel och tre med riskklassificering Låg, enligt nedan. 1. Dokumenterat ansvar enligt DORA artikel 5.3 (Låg) Säkerställa tydligt dokumenterat ansvar för funktion/medlem i ledningen som övervakar arrangemang med tredjepartsleverantörer av IKT-tjänster, inklusive samverkan med kontrollfunktioner och rapporteringsvägar till styrelsen. Åtgärdsplan är framtagen med deadline Q4 2026. 2. Riktlinjer för användning av IKT-tjänster som stödjer kritiska eller viktiga funktioner (Medium) Internrevisionen rekommenderar att Bolaget ser över de styrdokument som svarar mot Bolagets riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och säkerställer att dessa innehåller alla delar som RTS 2024/1773 föreskriver ska inkluderas i riktlinjerna. Åtgärdsplan är framtagen med deadline Q4 2026. 3. Informationsregister – rutiner, roller och FI-rapportering (Låg) Förtydliga i Riktlinjer för uppdragsavtal rutiner/processer för informationsregistret, ansvar/roller samt krav på minst årlig rapportering och informationsplikt till FI enligt DORA artikel 28.3 (inkl. rapportering av antal nya arrangemang m.m. och information om avtal som stödjer kritiska eller viktiga funktioner). Åtgärdsplan är framtagen med deadline Q4 2026. 4. Dokumentation av koppling affärsfunktion ↔ IKT-/informationstillgångar (Låg) Säkerställa att dokumentationen tydligt visar vilka IKT-tillgångar och informationstillgångar som stödjer respektive identifierad affärsfunktion i enlighet med DORA artikel 8.1. Åtgärdsplan är framtagen med deadline Q4 2026. 9. Slutsatser från översynen Den genomförda översynen visar att S:t Erik Försäkring har etablerat ett proportionerligt och i huvudsak ändamålsenligt IKT-riskhanteringsramverk i relation till verksamhetens art, omfattning och komplexitet. Den samlade mognadsnivån för Bolagets digitala operativa motståndskraft bedöms vara Etablerad. Ramverket fungerar i praktiken och stödjer identifierade kritiska funktioner, men utvecklingsområden kvarstår avseende verifierbarhet, dokumentation och systematisk uppföljning. Bolagets digitala operativa motståndskraft är i hög grad beroende av Stockholms stads IT-miljö och centrala kontrollfunktioner. De identifierade förbättringsområdena är främst kopplade till: • oberoende uppföljning, • stärkt beroendekartläggning, • systematisk testning och dokumenterad verifiering. ADVISENSE ÖSTERMALMSTORG 1 14 (15) 114 42, STOCKHOLM SWEDEN Översynen indikerar inte några väsentliga strukturella brister i ramverket. De identifierade utvecklingsområdena är hanterbara och proportionerliga i förhållande till Bolagets riskprofil. Genom att genomföra de föreslagna åtgärderna bedöms Bolaget kunna höja sin mognadsnivå från Etablerad mot God och ytterligare stärka sin förmåga att verifierbart uppfylla DORA:s krav. Bilaga – detaljerad åtgärdsplan Förmåga Identifierad Allvarlig- Åtgärd Ansvar Tidsplan brist hetsgrad Styrning Avsaknad av Medel Etablera oberoende VD Q2 2026 oberoende uppföljnings- kontroll /kontrollfunktion för IKT- riskhantering inom ramen för riskfunktionen Styrning Endast Medel Utvärdera om det finns IT- Q4 2026 kvalitativ behov att kvantifiera ansvarig riskaptit i riskaptit och fastställa dagsläget KRI-trösklar (RTO/RPO m.fl.) Identifiera Otydlig BIA- Medel Tydliggöra och IT- Q4 2026 process dokumentera BIA-metod ansvarig Identifiera Bristande Medel Utveckla IT- Q4 2026 beroendekartor beroendekartläggningar ansvarig som tydliggör samband mellan process, system och leverantör. Skydda / Begränsad Medel Kravställa strukturerad IT- Q4 2026 upptäcka verifiering av säkerhets- och ansvarig leverantörers incidentrapportering från skydd och leverantörer via stadens detektion kontrollfunktion. Åtgärda/Återställa Otillräcklig Medel Inför och genomför årlig IT- Q4 2026 testning testplan för ansvarig incidenthantering och avbrottsplan ADVISENSE ÖSTERMALMSTORG 1 15 (15) 114 42, STOCKHOLM SWEDEN