Company Audits and Digital Security for New Rules

[Beslutsmening 9 Internrevisionens årsplan.pdf] 2026-03-13 Ärende nr 9: Internrevisionsrapporter, årsrapport 2025 samt årsplan 2026-2027, bilaga 12-15. Förslag till beslut: Styrelsen föreslås fastställa årsplan 2026-2027 samt lägga internrevisionsrapporterna och årsrapporten till handlingarna. Bakgrund: Internrevisionen ska enligt gällande rätt ha en framåtblickande revision över en längre period. --- [12 IA Rapport SEF 2025.01 ORSA.pdf] 2025.01 – ORSA med inriktning på aktuariefunktionens och riskfunktionens arbete Från: Internrevisionen, Grant Thornton Sweden AB Till: Styrelse & VD på S:t Eriks Försäkrings AB 2026-03-02 CONFIDENTIAL/FOR INTERNAL USE ONLY Inledning och bakgrund Bakgrund till granskningen Omfattning Försäkringsbolags egna risk-och solvensbedömning (ORSA) är en viktig del av 1. Styrande dokument bolagsstyrning och riskhantering. ORSA måste utföras årligen eller oftare om en betydande förändring i de risker som försäkringsbolaget är exponerat för har 2. Roller och ansvar inträffat. Försäkringsbolag måste vidare ha processer som säkerställer att risker 3. Kommunikation som de exponeras för, både på kort och lång sikt, identifieras och bedöms som en del av ORSAn. ORSAn bör inkluderas som en integrerad del av ett 4. Rapportering försäkringsbolags affärsstrategier och beaktas i försäkringsbolagens strategiska Validering av beräkningar och underliggande kalkyler och prognoser kopplat till beslutsfattande. ORSAn har inte omfattats av granskningen. ORSA är en central komponent i regelverket för försäkringsbolag och det finns omfattande regulatoriska krav knutna till ORSA. Vidare har försäkringsbolags riskhanteringsfunktion och aktuariefunktion i den andra försvarslinjen en viktig Regulatorisk kontext roll att spela vad gäller ORSAn. För att lyckas med ORSAn är en god styrning och intern kontroll i förhållande till dessa funktioners arbete därav centralt. 1. Kommissionens delegerade förordning (EU) 2015/35 2. Försäkringsrörelselag (2010:2043) Syfte 3. Riktlinjer för företagsstyrningssystem (EIOPA-BoS14/253) Syftet med granskningen har varit att utvärdera den interna styrningen och 4. Riktlinjer för egen risk-och solvensbedömning (EIOPA-BoS-14/259) kontrollen i processen för ORSAn hos S:t Erik Försäkrings AB (”SEF” eller ”Bolaget”). Framförallt har det arbete som utförs av aktuariefunktionen och riskfunktionen granskats för att säkerställa att dessa funktioner arbetar på ett ändamålsenligt sätt i förhållande till ORSAn. Grant Thornton Sweden AB ©2026 | 2 Sammanfattning av resultat Internrevisionen har genomfört en granskning av Bolagets interna styrning och kontroll i ORSA-processen. Granskningen visar att Bolaget har etablerat en styrning och intern kontroll för ORSA-processen som i flera avseenden framstår vara välfungerande. Bolaget har etablerat övergripande processer för genomförandet av ORSA och dokumenterar samtrapporterar tillFinansinspektionen påett struktureratsätt,medett aktivtdeltagandefrånledningen. ORSA-resultatenförefallerävenanvändassom ett underlag i den strategiska planeringsprocessen och för Bolagets beslutsfattande. Samtidigt bedömer Internrevisionen att det finns ett visst förbättringsbehov i vissa avseenden. Den sammanfattande bedömningeneftergranskningenärattdetföreliggerettmindreFörbättringsbehov. Förattförbättrainternstyrning ochkontrollinom detgranskadeområdetrekommenderasåtgärderilinjemedInternrevisionensrekommendationer. Internrevisionenlämnartre(3)rekommendationerbaseratpåiakttagelsersomgjorts.En(1)rekommendationbedömsvaraavmediumrisk-karaktärochtvå(2)avlågrisk- karaktär. # Fokusområde Rekommendation Risknivå Bolaget bör förtydliga styrdokumenten för ORSAnmed information om hur och hur ofta stresstester och andra analyser ska genomföras samt en 2025.01.1 1. Styrande dokument Låg motivering av frekvensen för ORSAn Bolaget bör dokumentera och fastställa tydliga kvantitativa ansatser för vad som ska konstituera en väsentlig förändring av de risker som 2025.01.2 1. Styrande dokument Låg försäkringsföretaget är utsatt för Bolaget bör tydliggöra roller och ansvar för ekonomifunktionen och aktuariefunktionen i den styrande dokumentationen samt stärka 2025.01.3 2. Roller och ansvar Medium aktuariefunktionens involvering i centrala moment inom ORSA-processen Grant Thornton Sweden AB ©2026 | 3 2025.01.1 Bolaget bör förtydliga styrdokumenten för ORSAnmed information om hur och hur ofta stresstester och andra analyser ska Låg genomföras samt en motivering av frekvensen för ORSAn 1. Styrande dokument Kriterium Riktlinjerföregenrisk-ochsolvensbedömning-EIOPA-BoS-14/259 1.16Förvaltnings-,lednings-ellertillsynsorganetskagodkännastyrdokumentförOrsa.Styrdokumentetskasomminstomfattaenbeskrivningav[…] c)metoderochtillvägagångssätt,inbegripetinformationom (i)hurochhuroftastresstester,känslighetsanalyser,omvändastresstesterellerandrarelevantaanalyserkommerattgenomföras,[…] (iii) hur ofta bedömningen kommer att göras och en motivering av dess lämplighet, i synnerhet med hänsyn till företagets riskprofil och volatiliteten i dess totala solvensbehov i förhållandetilldessfinansiellaställning, Observation BolagetharettavstyrelsenfastställtstyrdokumentförORSA(PolicyförORSA)somgerenövergripandebeskrivningavprocesser,rutinerochtillämpademetoderförgenomförandetav ORSAn.VidInternrevisionensgranskningnoteradesdockföljandeavseendestyrdokumentationenförORSAn: • Detframgårintepåetttydligtsättistyrdokumentationenhurochhuroftastresstester,känslighetsanalyser,omvändastresstesterochandrarelevantaanalyserskagenomföras. • BolagetsPolicyförORSAfastställerenårligfrekvensförgenomförandetavORSAn,mensaknardokumenteradmotiveringtillvarfördennafrekvensharansettslämpligmedhänsyn tillBolagetsriskprofilochvolatilitetenidettotalasolvensbehovet. Risk Vadsomnämntsovankanvaraförknippatmedenriskförbristandestyrningochenotillräckligkopplingmellanriskprofil,risktoleransochsolvensbehov.Detkanocksåmedförasvagare analys-ochdatakvalitet. Rekommendation InternrevisionenrekommenderarattBolagetkompletterarORSA-styrdokumentationenmedföljande: • Tydliginformationomhurochhuroftastresstester,känslighets-ochomvändastresstestersamtandrarelevantaanalyserskagenomföras. • EnmotiveringtilldenårligafrekvensenavORSAnsomärbaseradpåBolagetsriskprofilochvolatilitetidettotalasolvensbehovet. Ledningens åtgärdsplan: UtkasttilluppdateradPolicyförORSAfinnssomberörstresstesterochmotivering. Ansvarig och deadline: Bolagsjurist, Q2 2026. Grant Thornton Sweden AB ©2026 | 4 2025.01.2 Bolaget bör dokumentera och fastställa tydliga kvantitativa ansatser för vad som ska konstituera en väsentlig förändring av de Låg risker som försäkringsföretaget är utsatt för 1. Styrande dokument Kriterium 10kap.12§Försäkringsrörelselag(2010:2043) Ettförsäkringsföretagskagenomföraenegenrisk-ochsolvensbedömningminstengångperår.Omenväsentligförändringskettavderiskersomförsäkringsföretagetärutsattför,ska ennysådanbedömninggenomförassnarastmöjligt. Försäkringsföretagensegnarisk-ochsolvensbedömningar,Dnr19-9807-sidan10 FIanserattdetärlämpligtattdefinieravadsominnebärenväsentligförändringavderiskersomföretagetärutsattför.Påsåsättkanföretagetlättaredefinieranärennybedömning skagenomföras.FIanserocksåattdetärlämpligtattföretagenvidsinbedömningavomenväsentligförändringskettanvänderbådekvantitativaansatserochkvalitativaresonemang, tillexempelomvilkahändelsersomkanföranledaennybedömning. Observation BolagetsstyrdokumentförORSA,PolicyförORSA,angerattennyORSAskagenomförasvidväsentligaförändringaravderiskersomBolagetärutsattför(PolicyförORSA,sidan4). PolicynförORSAbeskriverettantalfaktorersomskabeaktasvidbedömningenavomensådanväsentligförändringharinträffat.Dessaärdockuteslutandeavkvalitativkaraktäroch innehållerintenågrakvantitativaansatserförattbedömaomenväsentligförändringskettavderiskersomBolagetärutsattför. Risk VadsomnämntsovankanvaraförknippatmedriskförattBolagetintepåettkonsekventochtransparentsättkanavgöranärenförändringiriskprofilenärattbetraktasomväsentlig, vilketisinturkanledatillfördröjdellerutebliveninitieringavennyORSA-bedömning.Avsaknadenavtydligakvantitativaramarsomangervadsomutgörenväsentligförändringavde riskersomBolagetärutsattförkanskapaotydlighetkopplattillnärennyORSAbörgöras. Rekommendation InternrevisionenrekommenderarattBolagetpålämpligplatssåsomt.ex.iBolagetsPolicyförORSAdokumenterartydligakvantitativaansatserförvadsomskakonstitueraenväsentlig förändringavderiskersomBolagetärutsattför.FörattfåstödivadsomkanvaralämpligakvantitativaansatserkanBolagetövervägadeexempelsomangesiDnr19-9807. Ledningens åtgärdsplan: UtkasttilluppdateradPolicyförORSAfinns.Därharkvantitativaindikatorerskrivitsin. Ansvarig och deadline: Bolagsjurist, Q2 2026. Grant Thornton Sweden AB ©2026 | 5 2025.01.3 Bolaget bör tydliggöra roller och ansvar för ekonomifunktionen och aktuariefunktionen i den styrande dokumentationen samt Medium stärka aktuariefunktionens involvering i centrala moment inom ORSA-processen 2. Roller och ansvar Kriterium Artikel258.1Kommissionensdelegeradeförordning(EU)2015/35 Försäkrings-ochåterförsäkringsföretagskauppfyllaföljandekrav: (a)Inrätta,genomföraochupprätthållaetteffektivtsamarbeteocheneffektivinternrapporteringochförmedlingavinformationpåallarelevantanivåeriföretaget. (b) Inrätta, genomföra och upprätthålla effektiva beslutsprocesser och en organisationsstruktur som klart anger rapporteringsvägar, fördelar funktioner och ansvarsområden samt beaktarartenochomfattningenavochkomplexitetenhosdeinneboenderiskernaiföretagetsverksamhet. BolagetsPolicyförORSA-sidan8 Riskhanteringsfunktionenansvararföratt: e)Utvärderariskhanteringssystemetf)Medstödavaktuarienutvärderastandardformelnslämplighet[…] Aktuarienansvararföratt: a)Bidratillutformningavstressadescenarierb)Bidratillutvärderingavbolagetskapitalbehovc)Göraaktuariellaberäkningarförnuvarandeochframtidafinansiellställning Observation Det framgåriBolagets ORSAattrapportenbereds avriskhanteringsfunktionen isamverkanmed verkställande ledningen,ekonomifunktionenochaktuariefunktionen.Vidarebeskrivs i Policyn för ORSA riskhanteringsfunktionen och aktuariefunktionens ansvarsområden i förhållande till ORSA-processen. Vid granskning av dessa och relaterade underlag samt vid genomfördintervjuharInternrevisionendocknoteratföljandevadgälleransvarochroller: • Även om aktuariefunktionens ansvar i förhållande till ORSA beskrivs i Bolagets Policy för ORSA saknas en tydlig beskrivning av funktionens ansvar kopplat till ORSA-processen i BolagetsInstruktionföraktuariefunktionen. • BolagetsekonomifunktionutföruppgifteravrelevansiförhållandetillORSAn,mensaknarenuttryckligansvarsbeskrivningiBolagetsstyrdokumentationavseendeORSAn. • DetframgåriBolagetsPolicyförORSA attriskhanteringsfunktionen ska utvärdera standardformlens lämplighettillsammans medaktuarien(PolicyförORSA,s.8).Vidareframgår det attaktuarienska delta iutformning avstressadescenarierochbidraiutvärderingaravkapitalbehov.Underintervjuersomgenomförts inom ramenförgranskningenframgick dock att aktuariefunktionens involvering i ORSA-processen företrädesvis består i att övergripande kontrollera ORSA-rapportens rimlighet utan närmare involvering i exempelvis utvärderingavstandardformelnslämplighet,utformningavstressadescenarierochutvärderingaravkapitalbehov. Risk Vad som beskrivits ovankanvara förenat med enrisk förbristerideninterna styrningenochkontrollenavORSA-processen.Det finns enrisk föratt Bolagets aktuariefunktioninteär tillräckligtinvolveradicentralamomentiORSA-processen,någotsomkanökariskenförattORSAnintekalibreraspårättsättochblirmindreändamålsenlig. Rekommendation InternrevisionenrekommenderarattBolaget: • SäkerställerattBolagetsInstruktionföraktuariefunktionenbeskriveraktuariefunktionensansvarochinvolveringkopplattillORSA-processen. • TydligtdokumenterarekonomifunktionensansvarkopplattillORSA-processeniBolagetsstyrdokumentation(exempelvisiPolicynförORSA). • StärkerochutvidgaraktuariefunktionensinvolveringicentralamomentiORSA-processensåattfunktioneninteendastgörenövergripanderimlighetskontrollgenomattläsaORSA- rapporten. I detta avseende bör funktionen involveras ytterligare i momenten som avser utvärdering av standardformelns lämplighet, utformning av stressade scenarier och utvärderingaravkapitalbehov. Ledningens åtgärdsplan: Utkast till justerad Instruktion för aktuariefunktionen finns. Utkast till uppdaterad Policy för ORSA avseende ekonomifunktionen finns. Avstämning med riskhanteringsfunktionen och aktuariefunktionenkommerattskeavseendeaktuariefunktionensinvolverandeiORSA. Ansvarig och deadline: Bolagsjurist Q2 2026. Grant Thornton Sweden AB ©2026 | 6 Appendix A - Granskningens tillvägagångssätt och metodik Intervjuer Bedömningskriterier Internrevisionen har inom ramen för granskningen utfört intervju med Alla utfärdade observationer klassificeras i enlighet med följande aktuariefunktionen, Ola Hestnes och riskhanteringsfunktionen, AgilSalamov. bedömningsskala Låg, Medium, Hög, Mycket hög. Internrevisionen har även haft intervju med Bolagets VD Mattias Westerlund och En sammanfattande bedömning av det granskade området görs i enlighet Bolagsjurist Erik Fischer. med skalan Tillfredsställande, Förbättringsbehov, Väsentliga förbättringsbehovoch Otillfredsställande. Dokumentgranskning Se Appendix B för ytterligare beskrivning av ’Gradering av observationer och rapporter’. Internrevisionen har med ett riskbaserat selektivt tillvägagångsätt granskat ändamålsenlighet och efterlevnad av styrdokument, rutinbeskrivningar och andra relevanta interna dokument. Se ’Appendix C –Mottagna dokument’ för information om erhållna dokument. Avgränsningar Granskningen har genomförts med ett riskbaserat tillvägagångssätt, vilket innebär att ingen uttömmande granskning har gjorts av alla aspekter som rör de områden som omfattas. De resultat som presenteras är vägledande och en fördjupad granskning kan vara nödvändig för att närmare kunna bedöma risker och konsekvenser. Grant Thornton Sweden AB ©2026 | 7 Appendix B – Gradering av observationer och rapporter Internrevisionen bedömer intern kontroll och styrning inom det granskade området som “Tillfredställande”, “Förbättringsbehov”, ”Väsentliga förbättringsbehov”, eller “Otillfredsställande” utifrån följande: t r o p p Otillfredsställande a r s g Väsentliga förbättringsbehov n i n Förbättringsbehov k s n a Tillfredsställande r G Varje observation tilldelas en av följande risknivåer; låg, medium, hög eller mycket hög risknivå: Risknivå Kriterium Implicerarkritiskbristinomstyrning,internkontroll,riskhanteringellerregelefterlevnadsomindikerarenmyckethögresidualrisk,eftersombristenkanledatill Mycket hög kritisk ekonomisk förlust, ineffektivitet och / eller offentlig eller juridisk inverkan. Ledningen bör adressera bristen genom att vidta åtgärder omedelbart och adresseradenbakomliggandeorsakentillbristen. r e n Implicerar väsentlig brist inom styrning, intern kontroll, riskhantering eller regelefterlevnad som indikerar en hög residual risk, eftersom bristen kan leda till o Hög väsentligekonomiskförlust,ineffektivitetoch/elleroffentligellerrättsliginverkan.Ledningenböradresserabristengenomattsnarastvidtaåtgärder. i t a v r e Implicerar ett utvecklingsområde / betydande brist inom styrning, intern kontroll, riskhantering eller regelefterlevnad som indikerar en medium residual risk s som ensam, eller i kombination med andra brister, kan påverka funktionaliteten / integriteten hos system, processer och / eller kontroller, leda till b Medium O anmärkningarfråntillsynsmyndigheteralternativtindikerabetydandepotentialföreffektivisering.Ledningenböradresserabristengenomattvidtaåtgärder inomenrimligtidsram. Implicerarettmindreutvecklingsområde /mindrebristinom styrning,internkontroll,riskhantering ellerregelefterlevnad ochsom harenlåg residual riskav Låg kritisk påverkan på system, processer eller kontroller, men indikerar potentiell förbättring för effektiviteten i processer och / eller kontroller. Ledningen bör adresserabristeninomramenfördendagligaverksamheten. Grant Thornton Sweden AB ©2026 | 8 Appendix C – Mottagna Dokument • 7 ORSA 2025 förslag scenarier • 9 SEF Riskrapport 2024 Q4 • 11 Affärsriskanalys 2024 inför ORSA • Instruktion för aktuariefunktionen 250523 • Instruktion för funktionen för riskhantering 250523 • Kvittens ORSA 2025 • ORSA 2025 • Policy för ORSA 250523 • Riktlinje för riskhantering 250226 • Styrelseprotokoll 2 2025 • 4 ORSA 2021 SEF • 5 ORSA 2022 SEF • 7 ORSA 2023 SEF • 8 Ändrat självbehåll • Bilaga 10 ORSA 2024 SEF • Instruktion för att beräkna SCR och MCR 20170419 • Rapporteringsrutiner vid kvantitativ sovlens II-rapportering • Validering årsrapportering 2016 Grant Thornton Sweden AB ©2026 | 9 Om du har några frågor om denna rapport eller dess innehåll, vänligen kontakta: Louise Wennström Senior Manager Advisory T +46 (0) 73 82 32 494 E louise.wennstrom@se.gt.com DennarapportärkonfidentiellochharupprättatsuteslutandeförBolaget.Tredjepartellerandrautomståendeharinterättattanvända,dranyttaavellerförlitasigpårapporten.Rapportenfårintereproducerasellerdistribuerashelteller delvisförnågotannatändamålänvadsomäravsettförInternrevisionsfunktionen.Informationenidennarapporttillhandahållsavföretaget.GrantThorntonkanintegaranteraattinformationenärkorrektellerfullständig.GrantThorntonär såledesinteansvarigförskadorsomkanuppståtillföljdavfelellerutelämnandenirapportenbaseratpåfelaktigellerpåannatsättvilseledandeinformationsominnehasavföretaget,ellerförnågonindirektförlustsomorsakastillföljdav användningenavmaterialfråndennarapport. ©2026GrantThorntonSwedenAB.Allrightsreserved. MedGrantThorntonavsesantingendetvarumärkeundervilketGrantThorntonsmedlemsföretagtillhandahållertjänsterinomrevision,ekonomiservice,skattochrådgivningtillsinakunderoch/ellerrefererartillettellerfleramedlemsföretag, beroendepåsammanhanget.GrantThorntonSwedenABärettmedlemsföretagiGrantThorntonInternationalLtd(GTIL).GTILochmedlemsföretagenutgöringetglobaltpartnerskap.GTILochvarjemedlemsföretagutgörseparatajuridiska enheter.Tjänsterlevererasavmedlemsföretagen.GTILtillhandahålleringatjänstertillkunder.GTILochdessmedlemsföretagärinteombudförellerförpliktarvarandraochärintehelleransvarigaförvarandrashandlingarellerförsummelser. --- [13 IR Rapport SEF 2025.02 IKT-tredjepartsrisker (DORA).pdf] 2025.02 - IKT Tredjepartsrisker (DORA) Från: Internrevisionen, Grant Thornton Sweden AB Till: Styrelse & VD på S:t Eriks Försäkrings AB 2026-03-04 CONFIDENTIAL/FOR INTERNAL USE ONLY Inledning och bakgrund Bakgrund till granskningen Omfattning EU:s förordning om digital operativ motståndskraft för finanssektorn (DORA) 1. Styrdokument trädde i kraft i januari 2023 och har som primärt syfte att konsolidera nuvarande 2. Informationsregister reglering och höja kraven inom IKT-riskhantering. Drivande faktorer till regelverket 3. Rutiner och processer är bland annat ökad digitalisering och sammankoppling, där finansiella aktörer blir alltmer beroende av informations-och kommunikationsteknik (IKT). Detta Avgränsningar skapar möjligheter men medför också ökade risker. Granskningen har inte omfattat någon uttömmande bedömning av Bolagets S:t Erik Försäkrings AB (”SEF” eller ”Bolaget”) omfattas av DORA och har att avtal med leverantörer av IKT-tjänster mot DORA:sramverk. Övriga kapitel i säkerställa att Bolaget följer regelverket, vilket började tillämpas i januari 2025. DORA utöver kapitel 5 som rör hantering av IKT-tredjepartsrisker har endast Ett centralt område i DORA är hantering av IKT-tredjepartsrisker. berörts i den mån det har varit relevant och haft en tydlig koppling till IKT- tredjepartsriskhantering. Internrevisionen har granskat och tagit del av central dokumentation inom DORA:sramverk avseende IKT-tredjepartsrisker. Detta i form av t.ex. styrdokument Regulatorisk kontext kopplade till IKT-tredjepartsrisker och det informationsregister som ska 1. Europaparlamentets och Rådets förordning (EU) 2022/2554 (DORA) upprätthållas avseende avtal med tredjeparter som tillhandahåller IKT-tjänster. 2. Kompletterande tekniska standarder till DORA av relevans för IKT- Internrevisionen har även hållit genomgångar med relevant personal på Bolaget tredjepartsrisker för att förstå Bolagets processer och rutiner kopplat till IKT-tredjepartshantering och informationsregistret. Syfte Syftet med aktuella granskningen har varit att utvärdera hur Bolaget arbetar med hantering av IKT-tredjepartsrisker utifrån de krav som DORA ställer. Grant Thornton Sweden AB ©2026 | 2 Sammanfattning av resultat Internrevisionen har genomfört en granskning av Bolagets ramverk kopplat till IKT-tredjepartshantering. Granskningen visar att Bolaget har etablerat en styrning och intern kontroll i förhållande till IKT-tredjepartshantering som i flera avseenden framstår vara välfungerande. Samtidigt bedömer Internrevisionen att det finns ett visst förbättringsbehov i vissa avseenden. Den sammantagna bedömningen efter granskningen är att det föreligger ett mindre Förbättringsbehov. För att förbättra intern styrning och kontroll inom det granskade området rekommenderas åtgärder i linje med Internrevisionens rekommendationer. Internrevisionen lämnar fyra (4) rekommendationerbaseratpåiakttagelsersomgjorts.En(1)avdessabedömsvaraavmediumrisk-karaktärochtre(3)avlågrisk-karaktär. # Fokusområde Rekommendation Risknivå Bolaget bör säkerställa ett tydligt dokumenterat ansvar för den funktion som inrättats för att övervaka de arrangemang som har ingåtts med 2025.02.1 1. Styrdokument tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster eller den medlem av den verkställande ledningen som utsetts till ansvarig för Låg att övervaka den åtföljande riskexponeringen och relevant dokumentation Bolaget bör se över sina riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och säkerställa att dessa svarar mot 2025.02.2 1. Styrdokument Medium kraven i RTS 2024/1773 Bolaget bör förtydliga sina Riktlinjer för Uppdragsavtal vad gäller rutiner och processer kring informationsregistret samt ansvar och roller för 2025.02.3 2. Informationsregister Låg informationsregistret och beredning av beslut avseende kritiska och viktiga funktioner Bolaget bör säkerställa att det tydligt i Bolagets dokumentation framgår vilka IKT-tillgångar och informationstillgångar som stödjer respektive 2025.02.4 3. Rutiner och processer Låg identifierad affärsfunktion Grant Thornton Sweden AB ©2026 | 3 2025.02.1 Bolaget bör säkerställa ett tydligt dokumenterat ansvar för den funktion som inrättats för att övervaka de arrangemangsom har Låg ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster eller den medlem av den verkställande ledningen som utsetts till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation 1. Styrdokument Kriterium Artikel5.3Förordning(EU)2022/2554omdigitaloperativmotståndskraftförfinanssektorn(DORA) AndrafinansiellaentiteteränmikroföretagskainrättaenfunktionförattövervakadearrangemangsomharingåttsmedtredjepartsleverantöreravIKT-tjänsteromanvändningenavIKT- tjänster,ellerutseenmedlemavdenverkställandeledningensomansvarigförattövervakadenåtföljanderiskexponeringenochrelevantdokumentation. Artikel3.5Förordning(EU)2024/1773omkompletteringavEuropaparlamentetsochrådetsförordning(EU)2022/2554(DORARTS2024/1773) Iriktlinjernaskadettydligtangesvilkenrolliellervilkenmedlemavdenhögreledningensomansvararförattövervakaderelevantaavtalsarrangemangen.Riktlinjernaskaangehurden rolleniellermedlemmenavden högreledningenska samarbetamed kontrollfunktionerna ochfastställas rapporteringsvägartillledningsorganet, inbegripet vilkentypavinformation somskarapporterasochvilkadokumentsomskatillhandahållas.Detskaocksåangeshuroftasådanrapporteringskaske. Observation Detföljeravartikel5.3iDORAattBolagetharattinrättaenfunktionförattövervakadearrangemangsomharingåttsmedtredjepartsleverantöreravIKT-tjänsteromanvändningenav IKT-tjänster,ellerutseenmedlemavdenverkställandeledningensomansvarigförattövervakadenåtföljanderiskexponeringenochrelevantdokumentation.VidgranskningavBolagets styrdokumentation avseende tredjepartsriskhantering har Internrevisionen noterat att det inte tydligt framgår vilken funktion eller vem i ledningen som fått ansvaret som föreskrivs i artikel5.3 iDORA samt vad detta ansvar innebär. Baserat på vad som har framgått under genomförda intervjuer uppfattarInternrevisionen dock att Bolagets chefsjurist kan ha fått dettaansvar. Risk VadsomnämntsovankanvaraförknippatmedenriskförenotydligansvarsfördelningochotydligarollersamtbristandestyrningavBolagetsIKT-tredjepartsrisker.Dettakanledatill attuppföljning,rapporteringochkontrollaktiviteterintegenomförskonsekventellerienlighetmedDORA:skrav. Rekommendation InternrevisionenrekommenderarattBolagetseröverstyrdokumentationochsäkerställerattdetfinnsetttydligtdokumenteratansvarfördenrollsomföreskrivsiartikel5.3iDORA.Av styrdokumentationbörframgå: • vilkenfunktionellervilkenmedlemavledningensomansvararförattövervakarelevantaavtalsarrangemang, • hurfunktioneniellermedlemmenavledningenskasamarbetamedkontrollfunktionerna, • rapporteringsvägarfrånfunktionen/medlemmenavledningentillstyrelsen,inbegripetvilkentypavinformationsomskarapporterasochvilkadokumentsomskatillhandahållas,och • huroftarapporteringskaske. Ledningens åtgärdsplan: EnpersoniledningenkommerattutsesochIKT-riktlinjeuppdateras med enännutydligarebeskrivning avprocess föruppföljning ochrapportering avseendearrangemang ingångna medtredjepartsleverantörer.Processenkommeräveninnefattaentydligarebeskrivninghurdessaarrangemangövervakaslöpande. Ansvarig och deadline: Bolagsjurist, Q4 2026. Grant Thornton Sweden AB ©2026 | 4 2025.02.2 Bolaget bör se över sina riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och säkerställa att Medium dessa svarar mot kraven i RTS 2024/1773 1. Styrdokument Kriterium Artikel28.2Förordning(EU)2022/2554omdigitaloperativmotståndskraftförfinanssektorn(DORA) SomendelavsinIKT-riskhanteringsramskaandrafinansiellaentiteterändeenhetersomavsesiartikel16.1förstastycketochmikroföretagantaochregelbundetseöverenstrategiför IKT-tredjepartsrisk, med beaktande av den strategi för flera olika leverantörer som avses i artikel 6.9 i tillämpliga fall. Strategin för IKT-tredjepartsrisk ska omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå. Ledningsorganet ska, baserat på en bedömning av den finansiella entitetens allmänna riskprofil samt omfattningen av och komplexiteten i entitetens affärstjänster, regelbundet se över de risker som har identifierats vad gäller kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiskaellerviktigafunktioner. Artikel1-10Förordning(EU)2024/1773omkompletteringavEuropaparlamentetsochrådetsförordning(EU)2022/2554(DORARTS2024/1773) Observation Bolaget har Riktlinjer för IKT samt Riktlinjer för Uppdragsavtal som tillsammans adresserar vissa krav i DORA och RTS 2024/1773 (kompletterande teknisk standard till DORA) på en övergripande nivå. Internrevisionen har dock vid granskning av riktlinjerna noterat att de inte fullt ut uppfyller kraven på en strategi för IKT-tredjepartsrisk som omfattar riktlinjer för användningavIKT-tjänstersomstöderkritiskaellerviktigafunktionerenligtartikel28.2iDORAochdekompletterandekraveniRTS2024/1773.Nedanföljerickeuttömmandeexempelpå iakttagnaområdendärnuvarandestyrdokumentationintebedömsuppfyllagällandekraviDORAochtillhörandetekniskstandard: • BolagetsRiktlinjerförIKTochRiktlinjerförUppdragsavtaladresserarintepåetttydligtsättleverantörersgeografiskalokaliseringochplatsfrånvilkenIKT-tjänstertillhandahållasoch uppgifterbehandlas(artikel1DORARTS2024/1773). • BolagetsRiktlinjerförIKTochRiktlinjerförUppdragsavtalinnehållervissaövergripandebeskrivningaravavslutochuppsägningavuppdrag.Iriktlinjernaframgårdäremotintepåett tydligtsättvilkaregler,ansvarsområdenochprocessersomskagällaförallafaserilivscykeln.Exempelvisangesintepåetttydligtsätthurexitplanerskautformas,såsomkravetpå attbeaktascenariersomoförutseddaochihållandedriftstoppvidupprättandet(artikel4ochartikel10iDORARTS2024/1773). • DetframgårintetydligtavBolagetsRiktlinjerförIKTochRiktlinjerförUppdragsavtalattdenriskanalyssomskagenomförasochsomliggertillgrundförstyrelsensbeslutomingång avnyauppdragsavtalskabeaktarättsligarisker,anseenderisker,platsrelateraderisker,leverantörensgeografiskaplaceringochIKT-koncentrationsrisker(artikel5RTS2024/1773). • Minimikraven som Bolagets Riktlinjer för IKT och Riktlinjer för Uppdragsavtal uppställer för att en verksamhet ska bedrivas av en extern part genom uppdragsavtal omfattar exempelvisingakravpåattleverantörenskakunnaföljatekniskutvecklingochimplementeraledandeIKT-säkerhetsmetoder(artikel6RTS2024/1773). • BolagetsRiktlinjerförIKTochRiktlinjerförUppdragsavtalinnehållerkravpåidentifieringochutredningavpotentiellaintressekonfliktermendetframgårintepåetttydligtsätthur BolagetskahanteraIKT-tjänstersomstöderkritiskaellerviktigafunktionersomtillhandahållsavkoncerninternaIKT-tjänsteleverantörer(artikel7RTS2024/1773). • Bolagets Riktlinjer för IKT och Riktlinjer för Uppdragsavtal anger inte uttryckligen krav på rätt till information, inspektioner, revisioner eller IKT-tester i avtal (artikel 8.2 DORA RTS 2024/1773)ochsaknarinformationomattBolagetintefårförlitasigenbartpåtredjepartscertifieringarellerexternarevisionsrapporter(artikel8.3RTS2024/1773). Risk VadsomnämntsovankanvaraförknippatmedriskförbristanderegelefterlevnadavDORAochtillhörandetekniskastandarder.DetfinnsenriskattBolagetsdokumenteraderamverk beträffandeIKT-tredjepartsriskhanteringinteärtillräckligttydligtivissaavseenden. Rekommendation InternrevisionenrekommenderarattBolagetseröverdestyrdokumentsomsvararmotBolagetsriktlinjerföranvändningenavIKT-tjänstersomstöderkritiskaellerviktigafunktioneroch säkerställerattdessainnehålleralladelarsomRTS2024/1773föreskriverskainkluderasiriktlinjerna. Grant Thornton Sweden AB ©2026 | 5 2025.02.2 Bolaget bör se över sina riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och säkerställa att Medium dessa svarar mot kraven i RTS 2024/1773 1. Styrdokument Ledningens åtgärdsplan: • BolagetsriktlinjerochavtalskavidbehovsesöverochjusterasförattbättreåterspeglahurBolagetsäkerställergeografisklokaliseringvarifrånIKT-tjänsterlevereras. • Bolagetsallmänthållnaexitstrategierkommerattförtydligas. • Bolagetsbeskrivningavriskanalyskommerattförtydligas. • Bolagetskaseöverdettaochkompletterariktlinjerochvidbehovleverantörsavtal,medinformationomdetsomomnämnsirekommendationen.ObserveraattBolagetkommeratt följauppdettamotbakgrundavproportionalitet,innebärandeattkravenkommerställasgentemotleverantörernaiförhållandetillhurviktigdenlevereradetjänstenärförBolagets verksamhet. • BolagetserdetintesomattdetuppstårspecifikaintressekonflikterenkomförattandrabolagikoncernenupphandlartjänstersomBolagetdärefternyttjar.Bolagetskadockseöver internariktlinjeravseendesåväldeområdensomovannämns,sominternariktlinjerförintressekonflikterförattseomdettabehöverförtydligasellerutredasvidare. • SamtligaområdensomnämnsunderdennapunktfinnsmedideleverantörsavtalsomBolagetingåttmedleverantöreravseendeIKT-tjänster.Bolagetavserdockföljauppomdetta kanförtydligasänmeriBolagetsinternariktlinjer. Ansvarig och deadline: Bolagsjurist, Q4. Grant Thornton Sweden AB ©2026 | 6 2025.02.3 Bolaget bör förtydliga sina Riktlinjer för Uppdragsavtal vad gäller rutiner och processer kring informationsregistret samt ansvar Låg och roller för informationsregistret och beredning av beslut avseende kritiska och viktiga funktioner 2. Informationsregistret Kriterium Artikel28.3Förordning(EU)2022/2554omdigitaloperativmotståndskraftförfinanssektorn(DORA) SomendelavsinIKT-riskhanteringsramskafinansiellaentiteterupprätthållaochuppdateraettregistermedinformationpåentitetsnivå,undergrupps-ochgruppnivåomallakontraktsmässiga arrangemangsomröranvändningenavIKT-tjänstersomtillhandahållsavtredjepartsleverantöreravIKT-tjänster. Dekontraktsmässigaarrangemangsomavsesiförstastycketskadokumenteraspålämpligtsätt,varvidåtskillnadskagörasmellandekontraktsmässigaarrangemangsomomfattarkritiskaeller viktigafunktionerochdesomintegördet. FinansiellaentiteterskaminstengångperårrapporteratilldebehörigamyndigheternaomantaletnyaarrangemangföranvändningenavIKT-tjänster,kategoriernaavtredjepartsleverantörer avIKT-tjänster,typenavkontraktsmässigtarrangemangochdeIKT-tjänsterochfunktionersomtillhandahålls.[…] FinansiellaentiteterskaigodtidinformeradenbehörigamyndighetenomeventuellaplaneradekontraktsmässigaarrangemangföranvändningenavIKT-tjänstersomstöderkritiskaellerviktiga funktionersamtnärenfunktionharblivitkritiskellerviktig. Artikel4(e)Förordning(EU)2024/1773omkompletteringavEuropaparlamentetsochrådetsförordning(EU)2022/2554(DORARTS2024/1773) Riktlinjernaskaspecificerakraven,inklusivereglerna,ansvarsområdenaochprocesserna,förvarjehuvudfasilivscykelnfördetkontraktsmässigaarrangemanget,somomfattarminstföljande: e)Dokumentationochregisterhållning,medbeaktandeavdekravavseendeinformationsregistretsomfastställsiartikel28.3iförordning(EU)2022/2554. Observation Internrevisionen har granskat Bolagets styrdokumentation, inklusive Riktlinjer för Uppdragsavtal med särskilt fokus på den beskrivna processen för dokumentation av Bolagets IKT-register och rapporteringavleverantörsavtalochuppdragsavtalavseendeIKT-tjänstertillFinansinspektionenochnoteratföljande: • RiktlinjernaförUppdragsavtalangerattfördetfallBolagetingåravtalavseendeennyIKT-tjänstskadettadokumenterasiBolagetsIKT-registerochrapporterastillFinansinspektionenmed beaktandeavartikel28-32iDORA(RiktlinjerförUppdragsavtal,s.9).Deangervidareattstyrelsenskabeslutaomvilkafunktionersomärkritiskaellerviktiga.Riktlinjernaärdockövergripande ochinnehållerinteinformationomattrapporteringenavinformationsregistretskagörasminstårligenochomfattaantaletnyaarrangemangföranvändningenavIKT-tjänster,kategoriernaav tredjepartsleverantörer avIKT-tjänster, typenavkontraktsmässigt arrangemangochdeIKT-tjänster och funktioner som tillhandahålls.Riktlinjernainnehåller vidareinte information om vem somskarapporteraininformationsregistrettillFinansinspektionen. • BolagetsRiktlinjerförUppdragsavtalangerattVDellerdelegeradskarapportera”verksamhetsomavseroperativverksamhetellerfunktioneravväsentligbetydelse”tillFinansinspektionen innan ett avtal träder i kraft (Riktlinjer för Uppdragsavtal sidan 9). Riktlinjerna och övrig granskad relevant styrdokumentation innehåller dock inte några krav på att informera FinansinspektionenomavtalavseendeIKT-tjänstersomstödjerkritiskaellerviktigafunktioner. Risk VadsomnämntsovankanvaraförknippatmedenriskattdokumentationenavIKT-arrangemanginteblirfullständigellertillräckligtstrukturerad,vilketisinturkanpåverkaBolagetsförmågaatt säkerställaattallinformationrapporteraskorrektochienlighetmedgällandekrav.Vidarekandetfinnasriskförotydligheteriramverketkopplattillrapporteringavinformationsregistret. Rekommendation InternrevisionenrekommenderarattBolagetiRiktlinjerförUppdragsavtal: • Tydliggör att Bolaget minst årligen ska rapporterar antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigtarrangemangochdeIKT-tjänsterochfunktionersomtillhandahållstillFinansinspektionen.Bolagetrekommenderasäventydligaredokumenteravemsomskarapporterain informationsregistret. • TydliggörattBolagetskainformeraFinansinspektionenomnyaavtalföranvändningIKT-tjänstersomstöderkritiskaellerviktigafunktionersamtev.befintligaavtalnärenfunktionharblivit kritiskellerviktig. Ledningens åtgärdsplan: Bolagetkommerattförtydligavemsomskarapportera.Vadavserinnehålletochnär/hurrapporteringskerfinnsiRiktlinjeföruppdragsavtalenhänvisningtillDORA.Bolagetserintebehovetmed attåtergeförordningstexteniriktlinjenochkommerlåtahänvisningentillDORAståkvar.Densomansvararförattrapporterakommerattvaravälinsattireglernasåattförordningenuppfylls. Ansvarig och deadline: Bolagsjurist, Q4 2026. Grant Thornton Sweden AB ©2026 | 7 2025.02.4 Bolaget bör säkerställa att det tydligt i Bolagets dokumentation framgår vilka IKT-tillgångar och informationstillgångar som Låg stödjer respektive identifierad affärsfunktion 3. Rutiner och processer Kriterium Artikel8.1Förordning(EU)2022/2554omdigitaloperativmotståndskraftförfinanssektorn(DORA) SomendelavdenIKT-riskhanteringsramsomavsesiartikel6.1skafinansiellaentiteteridentifiera,klassificeraochpålämpligtsättdokumenteraallaIKT-stöddaaffärsfunktioner,roller och ansvarsområden, de informationstillgångar och IKT-tillgångar som stöder dessa funktioner och deras roller och beroenden i förhållande till IKT-risk. Finansiella entiteter ska vid behov,ochminstengångperår,granskalämplighetenidennaklassificeringochiallrelevantdokumentation. Observation Bolagetharidentifierataffärsfunktionerochdokumenteratdessatillsammansmeddeavtalsomärkoppladetillrespektivefunktion.Bolagetharäventagitframsystemkartorsomvisar BolagetsIKT-tillgångarochinformationstillgångar.VidareharBolagetupprättatavbrottsplaner,vilkaivissafallindirektvisarvilkaIKT-tillgångarochinformationstillgångarsomstödjer olika affärsfunktioner. Internrevisionen har dock noterat att det av Bolagets dokumentation inte på ett tydligt och direkt sätt framgår vilka specifika IKT-tillgångar och informationstillgångarsomstödjerrespektiveidentifieradaffärsfunktion,ienlighetmedkravetiartikel8.1DORA. Risk VadsomnämntsovankanvaraförknippatmedenriskattBolagetsdokumentationavIKT-ochinformationstillgångarsamtaffärsfunktionerärotydligvilketkanmedföraenriskföratt sambandochberoendenmellanfunktionerochdetillgångarsomstödjerdemintefulltutförståsellerärkorrektkartlagda.DettakanisinturinnebäraenriskförattBolagetsförmåga attupprätthållaaffärskontinuitetvidincidenterelleravbrottpåverkasnegativt. Rekommendation InternrevisionenrekommenderarattBolagetförtydligardokumentationensåattdettydligtkanutläsasvilkaIKT-tillgångarochinformationstillgångarsomstödjerrespektiveidentifierad affärsfunktion. Ledningens åtgärdsplan: BolagetkommerattförtydligadettaiIKT-riktlinjensådetblirmeröverskådligt. Ansvarig och deadline: Bolagsjurist, Q4 2026. Grant Thornton Sweden AB ©2026 | 8 Appendix A - Granskningens tillvägagångssätt och metodik Intervjuer Bedömningskriterier Internrevisionen har inom ramen för granskningen utfört intervju med Johan Alla utfärdade observationer klassificeras i enlighet med följande Grenefalk, regelefterlevnadsfunktionen och Johan Gagner, IT-ansvarig. bedömningsskala Låg, Medium, Hög, Mycket hög. En sammanfattande bedömning av det granskade området görs i enlighet Dokumentgranskning med skalan Tillfredsställande, Förbättringsbehov, Väsentliga förbättringsbehovoch Otillfredsställande. Internrevisionen har med ett riskbaserat selektivt tillvägagångsätt granskat Se Appendix B för ytterligare beskrivning av ’Gradering av observationer och ändamålsenlighet och efterlevnad av styrdokument, rutinbeskrivningar och rapporter’. andra relevanta interna dokument. Se ’Appendix C –Mottagna dokument’ för information om erhållna dokument. Avgränsningar Granskningen har genomförts med ett riskbaserat tillvägagångssätt, vilket innebär att ingen uttömmande granskning har gjorts av alla aspekter som rör de områden som omfattas. De resultat som presenteras är vägledande och en fördjupad granskning kan vara nödvändig för att närmare kunna bedöma risker och konsekvenser. Grant Thornton Sweden AB ©2026 | 9 Appendix B – Gradering av observationer och rapporter Internrevisionen bedömer intern kontroll och styrning inom det granskade området som “Tillfredställande”, “Förbättringsbehov”, ”Väsentliga förbättringsbehov”, eller “Otillfredsställande” utifrån följande: t r o p p Otillfredsställande a r s g Väsentliga förbättringsbehov n i n Förbättringsbehov k s n a Tillfredsställande r G Varje observation tilldelas en av följande risknivåer; låg, medium, hög eller mycket hög risknivå: Risknivå Kriterium Implicerarkritiskbristinomstyrning,internkontroll,riskhanteringellerregelefterlevnadsomindikerarenmyckethögresidualrisk,eftersombristenkanledatill Mycket hög kritisk ekonomisk förlust, ineffektivitet och / eller offentlig eller juridisk inverkan. Ledningen bör adressera bristen genom att vidta åtgärder omedelbart och adresseradenbakomliggandeorsakentillbristen. r e n Implicerar väsentlig brist inom styrning, intern kontroll, riskhantering eller regelefterlevnad som indikerar en hög residual risk, eftersom bristen kan leda till o Hög väsentligekonomiskförlust,ineffektivitetoch/elleroffentligellerrättsliginverkan.Ledningenböradresserabristengenomattsnarastvidtaåtgärder. i t a v r e Implicerar ett utvecklingsområde / betydande brist inom styrning, intern kontroll, riskhantering eller regelefterlevnad som indikerar en medium residual risk s som ensam, eller i kombination med andra brister, kan påverka funktionaliteten / integriteten hos system, processer och / eller kontroller, leda till b Medium O anmärkningarfråntillsynsmyndigheteralternativtindikerabetydandepotentialföreffektivisering.Ledningenböradresserabristengenomattvidtaåtgärder inomenrimligtidsram. Implicerarettmindreutvecklingsområde /mindrebristinom styrning,internkontroll,riskhantering ellerregelefterlevnad ochsom harenlåg residual riskav Låg kritisk påverkan på system, processer eller kontroller, men indikerar potentiell förbättring för effektiviteten i processer och / eller kontroller. Ledningen bör adresserabristeninomramenfördendagligaverksamheten. Grant Thornton Sweden AB ©2026 | 10 Appendix C – Mottagna Dokument • Avtal i registret • FUNKTIOER • IKT-riktlinje 250312 • Insman2022 • IT Avbrottsplan 250226 • IT Avbrottsplan Bilagor • Riktlinje för uppdragsavtal 250523 • FUNKTIONER m process • iFACTS subcontractors • Instruktion för riskbaserad kontraktsuppföljning 251219 • riktlinje-for-informationssakerhet • tillampningsanvisning-informationssakerhet-v-1-3 • 2025-YEAR-DORA-IND-22067 Grant Thornton Sweden AB ©2026 | 11 Om du har några frågor om denna rapport eller dess innehåll, vänligen kontakta: Louise Wennström Senior Manager Advisory T +46 (0) 73 82 32 494 E louise.wennstrom@se.gt.com DennarapportärkonfidentiellochharupprättatsuteslutandeförBolaget.Tredjepartellerandrautomståendeharinterättattanvända,dranyttaavellerförlitasigpårapporten.Rapportenfårintereproduceraseller distribuerasheltellerdelvisförnågotannatändamålänvadsomäravsettförInternrevisionsfunktionen.Informationenidennarapporttillhandahållsavföretaget.GrantThorntonkanintegaranteraattinformationenär korrektellerfullständig.GrantThorntonärsåledesinteansvarigförskadorsomkanuppståtillföljdavfelellerutelämnandenirapportenbaseratpåfelaktigellerpåannatsättvilseledandeinformationsominnehasav företaget,ellerförnågonindirektförlustsomorsakastillföljdavanvändningenavmaterialfråndennarapport. ©2026GrantThorntonSwedenAB.Allrightsreserved. MedGrantThorntonavsesantingendetvarumärkeundervilketGrantThorntonsmedlemsföretagtillhandahållertjänsterinomrevision,ekonomiservice,skattochrådgivningtillsinakunderoch/ellerrefererartilletteller fleramedlemsföretag,beroendepåsammanhanget.GrantThorntonSwedenABärettmedlemsföretagiGrantThorntonInternationalLtd(GTIL).GTILochmedlemsföretagenutgöringetglobaltpartnerskap.GTILochvarje medlemsföretagutgörseparatajuridiskaenheter.Tjänsterlevererasavmedlemsföretagen.GTILtillhandahålleringatjänstertillkunder.GTILochdessmedlemsföretagärinteombudförellerförpliktarvarandraochärinte helleransvarigaförvarandrashandlingarellerförsummelser. --- [14 IR årsrapport 2025 SEF.pdf] Internrevisionens årsrapport 2025 Mars 2026 S:t Erik Försäkrings AB Utgivare: Internrevisionen, Grant Thornton Sweden AB Mottagare: Styrelsen & VD för S:t Erik Försäkrings AB CONFIDENTIAL/FOR INTERNAL USE ONLY Status rekommendationer och granskningar Öppna rekommendationer Bedömning Låg Medium Hög Mycket Hög Summa S:tErikFörsäkringsAB(”SEFeller”Bolaget”)bedriververksamhetiendynamiskmiljömedomfattande regulatoriskakravochhögaförväntningarfrånintressenter.UnderåretharFörordning(EU)2022/2554 om digital operativ motståndskraft för finanssektorn (”DORA”) börjat tillämpas, vilket höjt ribban för Status öppna ingång 2025 9 4 0 0 13 digital operativ motståndskraft och krävt en förstärkt hantering av IKT-risker. Vidare ställer 2025.01 –ORSA med inriktning klimatförändringar ökade krav påBolagets förmåga att bedöma ochhanteraklimatrelaterade risker. på aktuariefunktionens och Förbättringsbehov 2 1 0 0 3 Även återförsäkring och återförsäkringsrisken fortsätter att utgöra en central komponent för att riskfunktionens arbete säkerställa riskbärighet och stabilitet i Bolagets verksamhet, varför utvecklingen på 2025.02 – IKT Tredjepartsrisker återförsäkringsmarknaden är av stor betydelse för verksamheten. Parallellt pågår en översyn av (DORA) Förbättringsbehov 3 1 0 0 4 solvensramverket, där förändringar i regelverket kan påverka Bolaget. Bolaget har i flera delar av verksamheten ett beroende av externa leverantörer, något som ökar betydelsen av att hantera Stängda under 2025 5 3 0 0 8 tredjepartsrisker. Tillsynsmyndigheterna förväntar sig en tydlig styrning, uppföljning och kontroll av outsourcingarrangemang,särskiltiljusetavDORAochdetökadefokusetpåoperativmotståndskraft. Status mars 2026 9 3 0 0 12 Bedrägeribekämpning är fortsatt ett centralt fokusområde för intressenter, särskilt mot bakgrund av den senaste utvecklingen i Sverige och det ökade samhällsfokuset på att motverka den kriminella ekonomin. Sammantaget skärper detta förväntningarna på motståndskraft, styrning och Öppna rekommendationer per granskningsområde regelefterlevnadinomdennordiskaförsäkringssektorn.Givetdetarbetesomledningenhargenomfört under året för att stärka styrning, riskhantering och intern kontroll bedömer Internrevisionen att verksamhetenstårbättrerustadattmötadessaförväntningar. 1 Internrevisionen utfärdar rekommendationer löpande på grundval av resultatet av det arbete som utförts samt följer upp framdrift och tillämpning av de åtgärder som Bolaget formulerat för att 4 3 åtgärda brister och/eller förbättra och utveckla styrning, riskhantering samt interna kontrollmekanismer. Vid början av 2025 (föregående årsrapport) var 13 rekommendationer öppna. Sedan denna tidpunkt har Internrevisionen genomfört två (2) granskningsinsatser i enlighet med den antagnaInternrevisionsplanen.InomramenfördessagranskningarharInternrevisionenutfärdattotalt 2 2 sju(7)rekommendationer. Under året har verksamheten arbetat med att vidta åtgärder för att stänga de av Internrevisionen utfärdade rekommendationer. Givet de åtgärder som vidtagits av verksamheten har åtta (8) Intern styrning och kontroll med fokus på ekonomifunktionen rekommendationer kunnat stängas. Rekommendationer har generellt stängts i enlighet med tidplan, ORSA med inriktning på aktuariefunktionens och riskfunktionens arbete men det noteras att tidplanen i vissa fall behövt förlängas. För närvarande finns fem (5) öppna rekommendationer där initial deadline förlängts (2022.01.1, 2024.02.2, 2024.02.3, 2024.01.2 & Processen för skadehantering 2024.01.6). Sammanfattningsvis bedöms verksamhetens arbete med åtgärder kopplade till Internrevisionens rekommendationer vara fungerande, men Internrevisionen vill betona vikten av att Intern styrning och kontroll med fokus på compliancefunktionen vidta åtgärder med anledning av tidigare utfärdade rekommendationer, något som särskilt gäller för IKT Tredjepartsrisker (DORA) äldrerekommendationersåsom2022.01.1. Grant Thornton Sweden AB ©2026 | 2 Appendix – Öppna rekommendationer (1/2) # Område Rekommendation Risknivå Deadline Intern styrning och kontroll med fokus på Processer, rutiner, kontroller och ansvar bör uppdateras och ytterligare formaliseras, konkretiseras Q2 2026 (Q4 2023, 2022.01.1 Medium ekonomifunktionen och dokumenteras för ekonomifunktionen Q4 2024, Q4 2025) Bolaget bör överväga att uppdatera styrdokumentation för skadehanteringen för att bättre integrera 2024.02.2 Processen för skadehantering Låg Q2 2026 (Q4 2025) aspekter som föreskrivs i EIOPAsriktlinjer Bolaget bör säkerställa att befattningsbeskrivningar återkommande ses över och fastställs samt att Q2 2026 (Q2 2025, 2024.02.3 Processen för skadehantering Låg befattningsbeskrivningarna innehåller information om senast fastställande Q4 2025) Intern styrning och kontroll med fokus på Bolaget bör överväga att tydliggöra Bolagets processer för utlagd verksamhet i Bolagets riktlinjer för Q4 2026 (Q2 2025, 2024.01.2 Låg compliancefunktionen uppdragsavtal Q2 2026) Intern styrning och kontroll med fokus på Bolaget bör vidta åtgärder för att förbättra spårbarhet i förhållande till riskanalysen som genomförs 2024.01.6 Låg Q4 2026 (Q2 2025) compliancefunktionen vid utläggning av verksamhet ORSA med inriktning på aktuariefunktionens Bolaget bör förtydliga styrdokumenten för ORSAn med information om hur och hur ofta stresstester 2025.01.1 Låg Q2 2026 och riskfunktionens arbete och andra analyser ska genomföras samt en motivering av frekvensen för ORSAn ORSA med inriktning på aktuariefunktionens Bolaget bör dokumentera och fastställa tydliga kvantitativa ansatser för vad som ska konstituera en 2025.01.2 Låg Q2 2026 och riskfunktionens arbete väsentlig förändring av de risker som försäkringsföretaget är utsatt för Bolaget bör tydliggöra roller och ansvar för ekonomifunktionen och aktuariefunktionens i den styrande ORSA med inriktning på aktuariefunktionens 2025.01.3 dokumentationen samt stärka aktuariefunktionens involvering i centrala moment inom ORSA- Medium Q2 2026 och riskfunktionens arbete processen Bolaget bör säkerställa ett tydligt dokumenterat ansvar för den funktion som inrättats för att övervaka de arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT- 2025.02.1 IKT Tredjepartsrisker (DORA) Låg Q4 2026 tjänster eller den medlem av den verkställande ledningen som utsetts till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation Bolaget bör se över sina riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga 2025.02.2 IKT Tredjepartsrisker (DORA) Medium Q4 2026 funktioner och säkerställa att dessa svarar mot kraven i RTS 2024/1773 Grant Thornton Sweden AB ©2026 | 3 Appendix – Öppna rekommendationer (2/2) # Område Rekommendation Risknivå Deadline Bolaget bör förtydliga sina Riktlinjer för Uppdragsavtal vad gäller rutiner och processer kring 2025.02.3 IKT Tredjepartsrisker (DORA) informationsregistret samt ansvar och roller för informationsregistret och beredning av beslut Låg Q4 2026 avseende kritiska och viktiga funktioner Bolaget bör säkerställa att det tydligt i Bolagets dokumentation framgår vilka IKT-tillgångar och 2025.02.4 IKT Tredjepartsrisker (DORA) Låg Q4 2026 informationstillgångar som stödjer respektive identifierad affärsfunktion Grant Thornton Sweden AB ©2026 | 4 Om du har några frågor om denna rapport eller dess innehåll, vänligen kontakta: Louise Wennström Senior Manager Advisory T +46 (0) 73 82 32 494 E louise.wennstrom@se.gt.com DennarapportärkonfidentiellochharupprättatsuteslutandeförBolaget.Tredjepartellerandrautomståendeharinterättattanvända,dranyttaavellerförlitasigpårapporten.Rapportenfårintereproducerasellerdistribuerasheltellerdelvisför någotannatändamålänvadsomäravsettförInternrevisionsfunktionen.Informationenidennarapporttillhandahållsavföretaget.GrantThorntonkanintegaranteraattinformationenärkorrektellerfullständig.GrantThorntonärsåledesinte ansvarigförskadorsomkanuppståtillföljdavfelellerutelämnandenirapportenbaseratpåfelaktigellerpåannatsättvilseledandeinformationsominnehasavföretaget,ellerförnågonindirektförlustsomorsakastillföljdavanvändningenav materialfråndennarapport. ©2026GrantThorntonSwedenAB.Allrightsreserved. Med Grant Thornton avses antingen det varumärke under vilket Grant Thorntons medlemsföretag tillhandahåller tjänster inom revision, ekonomiservice, skatt och rådgivning till sina kunderoch/eller refererar till ett eller flera medlemsföretag, beroendepåsammanhanget.GrantThorntonSwedenABärettmedlemsföretagiGrantThorntonInternationalLtd(GTIL).GTILochmedlemsföretagenutgöringetglobaltpartnerskap.GTILochvarjemedlemsföretagutgörseparatajuridiskaenheter. Tjänsterlevererasavmedlemsföretagen.GTILtillhandahålleringatjänstertillkunder.GTILochdessmedlemsföretagärinteombudförellerförpliktarvarandraochärintehelleransvarigaförvarandrashandlingarellerförsummelser. --- [15 Internrevisionsplan 2026.pdf] S:t Erik Försäkrings AB Granskningsplan Internrevision 2026 Mars 2026 Till: Styrelsen i S:t Erik Försäkrings AB CC: VD Från: Internrevisionen, Grant Thornton 1. Inledning Grant Thornton har av styrelsen i S:t Erik Försäkrings AB (”Bolaget”) utsetts till ansvariga för funktionen för Internrevision. Internrevisionen inom Bolaget ska vara en resurs för styrelsen att utföra oberoende granskning av verksamheten. Genom ett systematiskt angreppssätt hjälper internrevision Bolaget att uppnå sina mål genom att utvärdera effektivitet och ändamålsenlighet i processer för styrning, riskhantering samt intern styrning och kontroll. 2. Internrevisionsuppdraget Det yttersta ansvaret för riskhantering och intern styrning och kontroll ligger alltid på företagets styrelse. Det övergripande syftet med internrevisionen är att bedöma och utvärdera process och effektivitet inom styrning, kontroll och riskhantering samt att årligen till styrelsen presentera Internrevisionens granskning med objektiva och värdeskapande rekommendationer. Bolagets verksamhet bedrivs under Finansinspektionens tillsyn och omfattas av olika regelverkskrav. Internrevisionsverksamheten regleras i huvudsak av 10 kap. 4 och 17 §§ Försäkringsrörelselagen (2010:2043) och EIOPAS riktlinjer avseende företagsstyrningssystemet (EIOPA-BoS-14/253). Internrevisionen ska bedrivas i enlighet med internationell standard och yrkesetisk kod. 2.1 Omfattning av granskning Internrevisionens verksamhet omfattar att: • utvärdera systemet för internkontroll • utvärdera andra delar av företagsstyrningssystemet • rapportera resultat och lämna rekommendationer till företagets styrelse och ledning • kontrollera verkställande av beslut baserade på funktionens rekommendationer • minst årligen upprätta en riskbaserad revisionsplan för granskning de kommande åren 2.2 Avrapportering och uppföljning En sammanfattande skriftlig rapport avläggs till styrelsen och den verkställande direktören efter avslutad granskningsinsats. Internrevisionen ska närvara vid styrelsemöte då rapporten behandlas. Uppföljning av tidigare lämnade rekommendationer sker med relevant person inom Bolaget och rapporteras till styrelsen. 3. Riskbaserad internrevisionsplan Den riskanalys som utförs för att bestämma granskningsinriktning och omfattning utgår från en analys av de risker som Bolagets verksamhet är förknippad med och bedömning var i verksamheten det kan vara störst risk för brister. Övrig input till riskanalysen är hänförlig till samtal med nyckelpersoner i Bolaget, väsentliga händelser och projekt, utförda granskningar föregående år samt tidigare förslag på framtida granskningsområden. Omfattningen av det arbete som utförs av övriga centrala funktioner har haft en påverkan på Internrevisionens riskbedömning och överväganden vid framtagandet av årets granskningsplan. 3.1 Förslag till granskningsplan 2026 Internrevisionen planerar att genomföra följande granskningar under 2026. Granskningsplanen utvärderas löpande och kan ändras i de fall detta skulle bedömas nödvändigt. Omfattning och fokus av insatserna preciseras mer i detalj vid planering av varje enskild granskning. Granskningsområden 2026 Tidplan Timmar Riskanalys och årlig planering Q1-Q4 15h Rapportering Q1-Q4 5h Uppföljning av tidigare utfärdade rekommendationer Q1-Q4 15h Uppdragsadministration Q1-Q4 10h Nr Område Granskningsinsats Granskningen syftar till att utvärdera intern styrning och kontroll i förhållande till den centrala Intern styrning och funktionen för riskhantering. Granskningen inriktas kontroll med fokus på mot funktionens arbete med riskanalys och 2026.01 Q2 40h den centrala årsplanering, genomförande av aktiviteter och riskfunktionen kontroller samt riskövervakning och uppföljning för att säkerställa att funktionen arbetar på ett ändamålsenligt sätt. Bolaget använder sig av externa leverantörer för skaderevision och granskningen syftar till att utvärdera och bedöma den skaderevision som utförs av dessa externa leverantörer (Internrevisionen kommer inte själv att utföra någon skaderevision). Bolaget använder sig av två Granskning av 2026.02 olika leverantörer (en för egendomsskador och en Q4 50h skaderevision för resterande skadetyper), varför granskningen kommer att utvärdera en revision genomförd av respektive leverantör och bedöma faktorer såsom omfattning och inriktning av revisionerna, dokumentation och spårbarhet, avrapportering, bedömningar, etc. Totalt antal timmar (ca) 135h 3.2 Förslag till granskningsplan 2027 Internrevisionen planerar att genomföra följande granskningar under 2027 inom ramen för uppdraget. Granskningsplanen utvärderas löpande och kan ändras i de fall det skulle bedömas nödvändigt. Omfattning och fokus av insatserna preciseras mer i detalj vid planering av varje enskild granskning. Granskningsområden 2027 Tidplan Riskanalys och årlig planering Q1-Q4 Rapportering Q1-Q4 Uppföljning av tidigare utfärdade rekommendationer Q1-Q4 Uppdragsadministration Q1-Q4 Nr Område Granskningsinsats Granskningen syftar till att bedöma Bolagets hantering av återförsäkring och återförsäkringsrisk med fokus på styrning, riskhantering, 2027.01 Återförsäkring motpartsexponering och utformning av Q2-Q3 återförsäkringsprogram. Insatsen bedömer om strategier, processer och rutiner för återförsäkring, återkrav och likviditet är ändamålsenliga. Granskningen syftar till att bedöma om organisationens arbete med att identifiera, hantera och följa upp personberoende som operativ risk är 2027.02 Operativ risk Q3-Q4 ändamålsenligt, samt om det finns tillräckliga kontroller för att säkerställa kontinuitet och robusthet i kritiska processer. Granskningen syftar till att bedöma om Bolagets Affärskontinuitet utifrån processer och rutiner för affärskontinuitet inom IKT 2027.03 Q3-Q4 IKT/DORA med utgångspunkt i DORA:s krav på digital operativ motståndskraft. 3.3 Historiska granskningsområden och föreslagna framtida granskningsområden Granskningsområde 2023 2024 2025 2026 2027 2028 Bolagsstyrning och system för internkontroll X Hantering av uppdragsavtal X Skadehanteringsprocessen X X Process för premiesättning ORSA X IKT/DORA X Produktstyrning (inklusive NPAP) X Företagsstyrning och riskhantering avseende hållbarhet X Återförsäkring X Kontinuitetshantering och incidentrapportering X Operativ risk X GDPR/Dataskydd Skadeförebyggande arbete X Andra försvarslinjens centrala funktioner X X Övriga relevanta granskningsområden Regulatorisk rapportering Löner och andra ersättningar Lämplighetskrav Intressekonflikter V © 2026 Grant Thornton Sweden AB. All rights reserved. Med Grant Thornton avses antingen det varumärke under vilket Grant Thorntons medlemsföretag tillhandahåller tjänster inom revision, ekonomiservice, skatt och rådgivning till sina kunder, eller ett eller flera medlemsföretag, beroende på sammanhanget. Grant Thornton Sweden AB är ett medlemsföretag i Grant Thornton International Ltd (GTIL). GTIL och medlemsföretagen utgör inget globalt partnerskap. GTIL och varje medlemsföretag utgör separata juridiska enheter. Tjänster levereras av medlemsföretagen. GTIL tillhandahåller inga tjänster till kunder. GTIL och dess medlemsföretag äger inte rätt att agera ombud för eller förplikta varandra och är inte heller ansvariga för varandras handlingar eller försummelser. www.grantthornton.se