Improving Insurance Rules for Your Protection

[Beslutsmening 11 Policydokument med ändringar.pdf] 2026-03-13 Ärende nr 11: Fastställande av policydokument, bilaga 20-24. Förslag till beslut: Styrelsen föreslås fastställa nedanstående styrdokument, varvid äldre version upphävs. a) Instruktion för aktuarien b) Instruktion för revisionsarbete c) Policy för ORSA d) Riktlinje för skadereglering, regress och försäkringsbedrägeri e) Riktlinje för uppdragsavtal Grund Anpassningar till DORA samt påpekanden från Internrevisionen IR-rapporter 2025 och 2026. --- [20 Instruktion för aktuariefunktionen 2026.pdf] INSTRUKTION FÖR AKTUARIEFUNKTIONEN I S:T ERIK FÖRSÄKRINGS AB FASTSTÄLLD AV STYRELSEN 2025-05-23 Innehåll 1 ALLMÄNT .....................................................................................................................................................3 2 AKTUARIENS KOMPETENS .....................................................................................................................3 3 AKTUARIENS UPPGIFTER .......................................................................................................................3 4 KONTROLLER .............................................................................................................................................3 5 RAPPORTERING .........................................................................................................................................3 6 VD:S ANSVAR SAMT ERSÄTTARE .........................................................................................................4 2 (4) 1 Allmänt Dessa riktlinjer har upprättats i enlighet med de rättsregler som anges i dokumentet ”Register över rättsregler”. Denna instruktion revideras årligen samt vid behov. Styrelsen för S:t Erik Försäkring ansvarar för att granska bolagets risktagande, finansiella ställning och förmåga att bära framtida risker. För detta behövs bl.a. försäkringsmatematiska (aktuariella) analyser., Syftet med denna instruktion är att reglera aktuariefunktionens uppgifter för att tillgodose att de analyser, beräkningar, metoder och kontroller som behövs för att bolaget ska uppfylla gällande legala krav utförs på ett korrekt sätt. 2 Aktuariens kompetens De krav som ställs på aktuariefunktionens- och utförande aktuaries kompetens framgår av bolagets Riktlinjer för lämplighet av styrelse, ledning och nyckelfunktioner. 3 Aktuariens uppgifter Aktuariens uppgifter framgår i detalj av ovan nämnda regelverk. Uppgifterna ska tillämpas i relation till arten och komplexiteten av bolagets affär och risker. Utöver detta ska aktuariefunktionen: 1. I god tid tydligöra krav på den information som bolaget behöver lämna som underlag för aktuariens beräkningar/bedömningar 2. På uppdrag av styrelsen och/eller VD göra särskilda försäkringstekniska utredningar och beräkningar 3. Löpande delta som speaking partner i försäkringstekniska frågor 4. Vara behjälplig med råd och kommentarer vid upphandling av ny försäkring 5. Vara behjälplig i rapporteringen till Finansinspektionen i de delar som berör försäkringsteknik 6. Delta i och vara behjälplig med aktuariell kompetens i samband med årsbokslut 7. Vara stöd till styrelsen vid underhåll av bolagets försäkringstekniska riktlinjer, tecknings- och återförsäkringsrisker samt reservsättning 8. Bidra till arbetet med ORSA enligt Policy för ORSA. 4 Kontroller De kontroller som aktuarien ska utföra framgår av gällande regelverk, bl.a datakvalité, bästa skattning m.m. Dessa kontroller ska ske i så god tid att verksamheten vid beräkningar, rapportering och upprättande av riktlinjer kan justera dessa. Aktuarien och verksamheten ska i samråd planlägga arbetet. 5 Rapportering Aktuarien ska löpande rapportera sina bedömningar och rekommendationer till styrelsen och VD, avvikelser ska rapporteras omedelbart. Aktuarien ska till styrelsen och VD avge ett skriftligt ett utlåtande om reservernas tillräcklighet i samband med årsbokslutet. 3 (4) Aktuarien ska minst årligen lämna en skriftlig rapport till styrelsen och VD med dokumentation av det arbete som utförts, resultat, identifiering av brister samt rekommendationer om åtgärder. Utlåtande om teckningsriktlinjer ska beakta hållbarhetsrisker. Aktuarien ska informera riskhanterings-, internrevisions-och regelefterlevnadsfunktionerna om eventuella omständigheter som är relevanta för deras respektive uppgifter 6 VD:s samt andras ansvar och ersättare för VD VD skall ha kunskap om var alternativ aktuariell kompetens finns att tillgå i det fall aktuarien inte har möjlighet att fullgöra sina uppgifter enl. ovan. VD ansvarar för att alla uppgifter lämnade till aktuarien samt de beräkningar och rapporter aktuarien har lämnat till bolaget snabbt kan göras tillgängliga för ersättaren. VD ansvar för att det material som aktuariefunktionen behöver för sitt arbete framtas. Samtliga personer och/eller organisationsenheter inom bolaget ska informera aktuarie- funktionen om eventuella omständigheter som är relevanta för dess uppgifter 4 (4) --- [21 Instruktion för revisionsarbete utkast.pdf] INSTRUKTION FÖR S:T ERIK FÖRSÄKRINGS REVISIONSARBETE FASTSTÄLLD AV STYRELSEN 2026-03-13 1 ALLMÄNT .....................................................................................................................................................3 2 SAMMANSÄTTNING ..................................................................................................................................3 3 UPPGIFTER ..................................................................................................................................................3 3.1 Allmänt .........................................................................................................................3 3.2 Finansiell rapportering .................................................................................................3 3.3 Revision ........................................................................................................................3 3.4 Opartiskhet ...................................................................................................................3 3.5 Revisorsval ...................................................................................................................4 4 SAMMANTRÄDEN ......................................................................................................................................4 5 RAPPORTERING .........................................................................................................................................4 BILAGA 1 - LATHUND .........................................................................................................................................5 BILAGA 2 – STYRELSENS KONTROLLER ....................................................................................................6 2(11) 1 Allmänt Denna instruktion har upprättats i enlighet med de rättsregler som anges i dokumentet ”Register över rättsregler” och har fastställts av styrelsen för S:t Erik Försäkrings AB (styrelsen). Instruktionen ska fastställas årligen av styrelsen och revideras vid behov. Syftet med instruktionen är att upprätthålla en korrekt revision med god kvalité. 2 Sammansättning Styrelsen har enligt 8 kap 49 a § 2 st ABL beslutat att själv hantera revisionsfrågorna och därmed inte utse ett revisionsutskott. 3 Uppgifter 3.1 Allmänt Styrelsen bereder och beslutar i revisionsfrågor. 3.2 Finansiell rapportering Styrelsen ska övervaka bolagets finansiella rapportering samt vid behov lämna rekommendationer och förslag att säkerställa dess tillförlitlighet. I detta ingår att övervaka effektiviteten avseende den finansiella rapporteringen i bolagets interna kontroll, internrevision, regelefterlevnad och riskhantering. 3.3 Revision Styrelsen ska hålla sig informerad om revisionen i årsredovisningen samt slutsatserna av Revisorsnämndens kvalitetskontroll. Styrelsen ska övervaka att revisorn följer rapporteringskraven i revisionsberättelsen samt den årliga rapporten till styrelsen. 3.4 Opartiskhet Styrelsen ska granska och övervaka revisorernas opartiskhet och självständighet. Detta sker genom att styrelsen: • Tar in bekräftelse på revisors opartiskhet. • Kontrollerar att revisor uppfyller kraven på rotation. • Uppmärksammar om revisorn tillhandahåller bolaget andra tjänster än revision och att dessa godkänts av styrelsen. • Övervakar revisorns beräkning och uppföljning av arvode för rådgivningstjänster. Till VD (i dennes frånvaro Bolagsjurist) och styrelseledamot, två i förening, delegeras rätt att Styrelsen ska på förhand godkänna revisorns/revisionsföretagets tillhandahållande av andra tjänster än revision och därvid kontrollera och dokumentera att: • Tjänsterna har ingen eller obetydlig effekt, separat eller totalt sett på de granskade finansiella rapporterna • Den uppskattade effekten på de granskade finansiella rapporterna dokumenteras på ett heltäckande sätt och förklaras i den kompletterande rapporten som revisorn/revisionsföretaget ska lämna till RU. 3(11) • Revisorns/revisionsföretagets opartiskhet och självständighet respekteras. • Erforderliga skyddsåtgärder vidtas. Beslutet ska redovisas till styrelsen vid nästkommande styrelsemöte. 3.5 Revisorsval Styrelsen ska vid behov biträda vid upprättande av förslag till bolagsstämmans beslut om revisorsval. Om aktieägarna har ett bestämmande inflytande över valberedningen eller motsvarande kan valberedningen lämna förslag till val av revisor. 4 Sammanträden Styrelsen ska behandla revisonsfrågor regelbundet anpassat till styrelsesammanträdena. Vid sammanträden utanför styrelsesammanträdena skall protokoll föras som anmäls vid styrelsesammanträdet. Vid behov kallas, VD, ansvarig externrevisor, ansvarig internrevisor, ansvarig för regelefterlevnad, ansvarig för riskkontroll samt ansvarig för finansiell rapportering eller annan bolagsfunktionärer, 5 Rapportering Styrelsens ordförande skall tillse att styrelsen hålls informerad om revisionsarbetet arbete och att beslut och rekommendationer till beslut motiveras. 4(11) Bilaga 1 - Lathund 3.3 • Styrelsen ska hålla sig informerad om revisionen och slutsatserna av Revisorsnämndens kvalitetskontroll • Årlig revisionsberättelse till styrelsen enligt innehåll i Artikel 10 Förordningen • Årlig kompletterande rapport till styrelsen enligt innehåll i Artikel 11 Förordningen 3.4 • Årlig skriftligt intygande från revisor om opartiskhet och oberoende, Artikel 6.2.a Förordningen • Årlig diskussion revisor avseende hot mot opartiskhet samt ev. skyddsåtgärder, Artikel 6.2.b Förordningen • Årlig kontroll avseende krav på varaktighet/rotation enligt Artikel 17 Förordningen. o 10 års rotation för bolag o 7 års rotation för påskrivande revisor • Kontroll om revisorn tillhandahåller andra tjänster till bolaget och om dessa får tillhandahållas enligt Artikel 5 Förordningen. • Godkänna andra tjänster än revision enligt Artikel 5 Förordningen • Kontrollera att revisorns beräkningar och uppföljning av arvoden enligt de begränsningar som finns i Artikel 4 i Förordningen o Fr o m 2020 får arvode för rådgivning uppgå till max 70% av genomsnittlig revisionsarvode de 3 föregående åren (Artikel 4.2) o Om mer än 15% av totala arvodena för revisorn/revisionsbolaget under vart och ett av de senaste tre åren kommer ifrån bolaget ska detta särskilt granskas avseende opartiskhet samt erforderliga skyddsåtgärder vidtas (Artikel 4.3) 3.5 • Upphandling ska ske av revisors/revisionsbolag vart 10:e år. • RU ska vid behov lämnas förslag på revisor till bolagsstämman, alternativt överlåta detta till valberedningen om aktieägarna har ett bestämmande inflytande över denna. Överlåts beslut till valberedning ska RU hålla denna informerad om behov av förändring behövs enligt punkterna ovan 5(11) Bilaga 2 – Styrelsens kontroller MARS 3.3 1. Styrelsen ska hålla sig informerad om revisionen och slutsatserna av Revisorsnämndens kvalitetskontroll o Kontakt med revisorer inför styrelsemöte o Kontroll med revisorsnämnden och FAR (kvalitetsnämnden) inför styrelsemöte 2. Årlig revisionsberättelse till styrelsen enligt innehåll i Artikel 10 Förordningen 3 veckor innan årsstämma (21 mars) a. Kontakt med revisorer under våren 3. Årlig kompletterande rapport till styrelsen enligt innehåll i Artikel 11 Förordningen 3 veckor innan årsstämma (21 mars) o Kontakt med revisorer under våren 3.4 4. Kontroll om revisorn tillhandahåller andra tjänster till bolaget och om dessa får tillhandahållas enligt Artikel 5 Förordningen. o Kontakt med revisorer och verksamheten inför styrelsemöte 5. Godkänna andra tjänster än revision enligt Artikel 5 Förordningen o Kontakt med revisorer och verksamheten inför styrelsemöte 6. Kontrollera att revisorns beräkningar och uppföljning av arvoden enligt de begränsningar som finns i Artikel 4 i Förordningen a) Fr o m 2020 får arvode för rådgivning uppgå till max 70% av genomsnittlig revisionsarvode de 3 föregående åren (Artikel 4.2) ▪ Kontakt med ekonomifunktionen innan styrelsemöte b) Om mer än 15% av totala arvodena för revisorn/revisionsbolaget under vart och ett av de senaste tre åren kommer ifrån bolaget ska detta särskilt granskas avseende opartiskhet samt erforderliga skyddsåtgärder vidtas (Artikel 4.3) 6(11) ▪ Kontakt med revisorer och ekonomi med fråga samt kontroll av revisorers årsredovisning med jfr från ekonomi 7(11) MAJ 3.3 1. Styrelsen ska hålla sig informerad om revisionen och slutsatserna av Revisorsnämndens kvalitetskontroll o Kontakt med revisorer inför styrelsemöte o Kontroll med revisorsnämnden och FAR (kvalitetsnämnden) inför styrelsemöte 3.4 2. Kontroll om revisorn tillhandahåller andra tjänster till bolaget och om dessa får tillhandahållas enligt Artikel 5 Förordningen. o Kontakt med revisorer och verksamheten inför styrelsemöte 3. Godkänna andra tjänster än revision enligt Artikel 5 Förordningen o Kontakt med revisorer och verksamheten inför styrelsemöte 4. Kontrollera att revisorns beräkningar och uppföljning av arvoden enligt de begränsningar som finns i Artikel 4 i Förordningen a) Fr o m 2020 får arvode för rådgivning uppgå till max 70% av genomsnittlig revisionsarvode de 3 föregående åren (Artikel 4.2) ▪ Kontakt med ekonomifunktionen innan styrelsemöte b) Om mer än 15% av totala arvodena för revisorn/revisionsbolaget under vart och ett av de senaste tre åren kommer ifrån bolaget ska detta särskilt granskas avseende opartiskhet samt erforderliga skyddsåtgärder vidtas (Artikel 4.3) ▪ Kontakt med revisorer och ekonomi med fråga samt kontroll av revisorers årsredovisning med jfr från ekonomi 5. Årlig kontroll avseende krav på varaktighet/rotation enligt Artikel 17 Förordningen. o 10 års rotation för bolag o 7 års rotation för påskrivande revisor ▪ Kontroll mot våra avtal, kontakt jur. SEF inför styrelsemöte. 8(11) 3.5 6. Upphandling ska ske av revisors/revisionsbolag vart 10:e år. o Kontroll mot avtal m revisorer 7. RU ska vid behov lämnas förslag på revisor till bolagsstämman, alternativt överlåta detta till valberedningen om aktieägarna har ett bestämmande inflytande över denna. Överlåts beslut till valberedning ska RU hålla denna informerad om behov av förändring behövs enligt punkterna ovan o Tillse att verksamheten upphandlar eller att Stockholms stad informeras om behovet och de krav som SEF lyder under och att upphandling sker i tid innan årsskiftet. 9(11) OKTOBER 3.3 1. Styrelsen ska hålla sig informerad om revisionen och slutsatserna av Revisorsnämndens kvalitetskontroll o Kontakt med revisorer inför styrelsemöte o Kontroll med revisorsnämnden och FAR (kvalitetsnämnden) inför styrelsemöte 3.4 2. Kontroll om revisorn tillhandahåller andra tjänster till bolaget och om dessa får tillhandahållas enligt Artikel 5 Förordningen. o Kontakt med revisorer och verksamheten inför styrelsemöte 3. Godkänna andra tjänster än revision enligt Artikel 5 Förordningen o Kontakt med revisorer och verksamheten inför styrelsemöte 4. Kontrollera att revisorns beräkningar och uppföljning av arvoden enligt de begränsningar som finns i Artikel 4 i Förordningen a) Fr o m 2020 får arvode för rådgivning uppgå till max 70% av genomsnittlig revisionsarvode de 3 föregående åren (Artikel 4.2) ▪ Kontakt med ekonomifunktionen innan styrelsemöte b) Om mer än 15% av totala arvodena för revisorn/revisionsbolaget under vart och ett av de senaste tre åren kommer ifrån bolaget ska detta särskilt granskas avseende opartiskhet samt erforderliga skyddsåtgärder vidtas (Artikel 4.3) ▪ Kontakt med revisorer och ekonomi med fråga samt kontroll av revisorers årsredovisning med jfr från ekonomi 10(11) NOVEMBER 3.3 1. Styrelsen ska hålla sig informerad om revisionen och slutsatserna av Revisorsnämndens kvalitetskontroll o Kontakt med revisorer inför styrelsemöte o Kontroll med revisorsnämnden och FAR (kvalitetsnämnden) inför styrelsemöte 3.4 2. Årlig skriftligt intygande från revisor om opartiskhet och oberoende, Artikel 6.2.a Förordningen 3. Årlig diskussion revisor avseende hot mot opartiskhet samt ev. skyddsåtgärder, Artikel 6.2.b Förordningen o Kontakt med revisor inför styrelsemöte 4. Kontroll om revisorn tillhandahåller andra tjänster till bolaget och om dessa får tillhandahållas enligt Artikel 5 Förordningen. o Kontakt med revisorer och verksamheten inför styrelsemöte 5. Godkänna andra tjänster än revision enligt Artikel 5 Förordningen o Kontakt med revisorer och verksamheten inför styrelsemöte 6. Kontrollera att revisorns beräkningar och uppföljning av arvoden enligt de begränsningar som finns i Artikel 4 i Förordningen a) Fr o m 2020 får arvode för rådgivning uppgå till max 70% av genomsnittlig revisionsarvode de 3 föregående åren (Artikel 4.2) ▪ Kontakt med ekonomifunktionen innan styrelsemöte b) Om mer än 15% av totala arvodena för revisorn/revisionsbolaget under vart och ett av de senaste tre åren kommer ifrån bolaget ska detta särskilt granskas avseende opartiskhet samt erforderliga skyddsåtgärder vidtas (Artikel 4.3) ▪ Kontakt med revisorer och ekonomi med fråga samt kontroll av revisorers årsredovisning med jfr från ekonomi 11(11) --- [22 Policy för ORSA 2026.pdf] POLICY FÖR ORSA INOM S:T ERIK FÖRSÄKRINGS AB FASTSTÄLLD AV STYRELSEN 2025-05-23 1 SYFTE ............................................................................................................................................................3 2 BAKGRUND ..................................................................................................................................................3 3 METOD OCH PROCESS ............................................................................................................................4 3.1 Initiering av ORSA .......................................................................................................4 3.2 Metod ...........................................................................................................................5 3.2.1 Analys av S:t Eriks finansiella position, strategi och förväntade marknadsutveckling ............................................................................................................5 3.2.2 Identifiering av samtliga väsentliga risker ............................................................5 3.2.3 Uppskattning av kapitalbehovet för identifierade risker .......................................6 3.3 Process ..........................................................................................................................7 3.3.1 Årsprocess för ORSA ...........................................................................................7 3.3.2 Process vid extraordinär ORSA ............................................................................7 3.3.3 Granskning av ORSA-process ..............................................................................8 3.4 ORSA-organisation; ansvar, kontroller och dokumentation ........................................8 3.4.1 Styrelsen ................................................................................................................8 3.4.2 VD .........................................................................................................................8 3.4.3 Riskhanteringsfunktionen .....................................................................................8 3.4.4 Aktuarien ...............................................................................................................9 3.4.5 Ekonomifunktionen ...............................................................................................9 4 KONTROLLER OCH DOKUMENTATION ............................................................................................9 5 STRUKTUR OCH INNEHÅLL I ORSA-RAPPORTEN ..........................................................................9 6 RAPPORTERING .......................................................................................................................................10 2 (10) 1 Syfte Denna policy har upprättats i enlighet med de rättsregler som anges i dokumentet ”Register över rättsregler”. Riktlinjerna är föremål för revidering årligen och skall fastställas av styrelsen för S:t Erik Försäkrings AB. Syftet med denna policy är att beskriva och fastställa principerna för arbetet med ORSA (Den egna risk- och solvensbedömningen, oftast benämnd efter den engelska termen, ”Own Risk and Solvency Assessment”) inom S:t Erik Försäkrings AB (”S:t Erik”, bolaget). Den Egna risk- och solvensbedömningen tjänar bland annat syftet att: a) Bedöma S:t Eriks totala solvensbehov på kort (upp till ett år) och medellång sikt (tre år) med beaktande av riskprofil, risktolerans och affärsstrategi, b) vara underlag för finansieringsplan, c) ge styrelsen en fördjupad förståelse för de risker som verksamheten är förknippad med och utmana bedömningen av dessa d) ingå som en integrerad del i affärsstrategin och beaktas vid företagets strategiska beslut, affärsplaner och budget, e) Bedöma S:t Eriks fortlöpande efterlevnad av bestämmelserna om solvens- och minimikapitalkrav. f) Bedöma hur betydande skillnaderna är mellan S:t Eriks riskprofil och de antagande om risker som har legat till grund för beräkning av solvenskapitalkravet. 2 Bakgrund ORSA-processen ingår som ett obligatoriskt moment enligt Solvens II-regelverket i försäkringsföretags bolagsstyrnings- och riskhanteringssystem. ORSA är en central process i ledningen och styrelsens utvärdering av bolagets risker och kapitalisering. ORSA knyter ihop regelverken kring kapitalkrav, företagsstyrning och rapportering till en enda process, som ska mynna ut i en rapport med kvantitativa och kvalitativa slutsatser. Analysen och slutsatserna ska omfatta beroenden och samspel mellan solvenskapital, kapitalanskaffning och förvaltning samt ordningen för beslutsfattande och affärsplanering. Det ska hela tiden finnas hållbara bedömningar av risk och motsvarande kapitalbehov som en grund för beslut. I processen ska bolaget bedöma sitt totala kapitalbehov och att riskhanteringssystemet är effektivt. Processen innefattar både kvalitativ och kvantitativ analys. En central del i den kvantitativa analysen och i kvantifieringen av kapitalbehovet är prognoserna för bolagets 3 (10) framtida finansiella ställning under både en förväntade utveckling och olika alternativa (stressade) mer negativa scenarier. Genom arbetet med ORSA skall S:t Erik beräkna hur mycket kapital som fordras för att bedriva verksamheten på såväl kort som lång sikt. Detta mer övergripande kapitalbehov (i direktivet kallat totalt solvenskrav) är inte detsamma som solvenskapitalkravet. Solvenskapitalkravet kan beräknas enligt en standardmodell som finns beskriven i Solvens II- direktivet (SCR), men företagen har också möjlighet att helt eller delvis istället använda en egen intern modell, som dock måste godkännas av tillsynsmyndigheten. S:t Erik Försäkring använder standardmodellen. I ORSA-processen ingår det att bedöma om standardformeln är lämplig utifrån riskprofilen eller om det krävs ytterligare kapital för att täcka bolagets risker, det vill säga om det övergripande kapitalbehovet är större än solvenskapitalkravet. Detta kapitalbehov ska i så fall också kvantifieras. Genom kravet på en egen bedömning av totalt kapitalbehov och riskprofil skapas en koppling mellan de regelstyrda kraven på kapital och riskhantering och företagens egen bedömning i dessa frågor. Genom bedömningen av den egna risken och solvensen ges företaget också vissa möjligheter att bedöma för- och nackdelar med att ta fram en intern modell för beräkningen av kapitalkraven. Bedömningen kan slutligen sägas utgöra en sammanfattning av riskhanteringssystemet. 3 Metod och process 3.1 Initiering av ORSA ORSA ska minst genomföras årligen. Frekvensen är vald utefter bolagets enkla och stabila verksamhet med låg risk, återförsäkringsprogram, mycket höga solvenskvot, ägarbolagets kapitalgaranti om 200 MSEK samt att bolagets samtliga medel finns direkt tillgängliga på konto. En extraordinär ORSA ska initieras vid konstaterade överträdelser (solvenskvot understiger 150%) eller väsentligt förhöjd risk för överträdelse (indikator - solvenskvot minskar med 100%-enheter) av bolagets toleransnivåer för kapitalisering eller försäkringsrisker (indikator - maximal riskexponering som framgår av FTR och Instruktion för tecknings- och återförsäkringsrisker). En extraordinär ORSA ska initieras vid konstaterade överträdelser eller väsentligt förhöjd risk för överträdelse (indikator - solvenskvot minskar med 100%-enheter) av bolagets toleransnivåer för kapitalisering eller försäkringsrisker (maximal riskexponering försäkringsrisker överstiger limiterna som framgår av FTR och Instruktion för tecknings- och återförsäkringsrisker). En väsentligt förändrad riskprofil ska också medföra att en extraordinär ORSA initieras. Faktorer som ska ingå i bedömningen av om väsentliga förändringar har skett är vid förändring av självbehåll, omfattning av återförsäkring, försämrad betalningsförmåga hos viktiga återförsäkringsmotparter, betydande ökningar av skadekostnader, väsentlig ändring av villkor samt introduktion av nya produkter. Även överträdelse av eller förhöjd risk för 4 (10) överträdelse av andra limiter än de gällande solvenskvot och riskexponering ska beaktas i utvärderingen. ORSA initieras av styrelsen. VD ansvarar för att underlag i form av tidplaner, beskrivningar och rapporter i genomförandet av ORSA framläggs för styrelsen. Riskhanteringsfunktionen ansvarar i sin övervakning av bolagets riskprofil att VD utan dröjsmål informeras om att limiter överträtts eller om en väsentlig förändring kan ha inträffat vilket ska medföra att styrelsen bedömer om en extraordinär ska initieras eller ej. Även enskilda styrelseledamöter, VD och aktuarie har rätt att och ansvar för att till VD föreslå att en extraordinär ORSA initieras om de bedömer att ovan angivna förutsättningar gäller. När VD fått information om att en extraordinär ORSA behöver genomföras eller ska övervägas ska VD utan dröjsmål informera styrelsens ordförande som beslutar om styrelsen ska sammankallas. 3.2 Metod Metoden för ORSA går ut på att identifiera samtliga väsentliga risker samt estimera och bedöma S:t Eriks kapitalbehov genom följande steg: a) Analys av S:t Eriks finansiella position med beaktande av strategi, affärsplan och marknadsläge, b) Identifiering av samtliga väsentliga risker, c) Framtagande av S:t Eriks riskprofil, d) Uppskattning av kapitalbehovet för identifierade risker 3.2.1 Analys av S:t Eriks finansiella position, strategi och förväntade marknadsutveckling Analys av S:t Eriks nuvarande finansiella ställning, förväntad marknadsutveckling, framtida strategi och finansiell utveckling ska avse utvecklingen de kommande tre åren. 3.2.2 Identifiering av samtliga väsentliga risker Alla väsentliga risker skall definieras, identifieras och kapitalbedömas. Riskbedömningen ska ske per riskkategori. Både kvantitativa och kvalitativa metoder skall användas i processen för simulering av nuvarande och framtida kapitalbehov. Åtminstone följande riskkategorier ska ingå i S:t Eriks utvärdering av väsentliga risker: Risker som ingår i standardformeln: • Försäkringsrisk, risken för förlust eller negativ förändring avseende försäkrings- förpliktelsens värde till följd av otillräckliga tariffer och antagande om avsättningar. • Marknadsrisk, risken för förlust eller negativ förändring avseende den finansiella ställningen som direkt eller indirekt orsakas av svängningar i nivån eller volatiliteten när det gäller marknadspriserna för tillgångar, skulder och finansiella instrument. • Motpartsrisk, risken till följd av oväntade brister i betalningsförmågan, viljan att betala eller försämrad kreditvärdighet hos företagets motparter och gäldenärer. • Operativ risk, risken för förlust till följd av att interna rutiner har visat sig otillräckliga eller fallerat, orsakad av personal eller system eller av externa händelser. Operativa 5 (10) risker finns i all verksamhet inom organisationen, i verksamhet som lagts ut till underleverantörer och i all samverkan med externa parter. Typiska exempel på operativa risker är: a) IT-risk, d.v.s. risken för att något av S:t Eriks IT-system eller den elektroniska kommunikationen inte fungerar som avsett. b) Regelefterlevnadsrisker vilket är risken för att bryta mot regelverket. Risker som bolaget är eller kan vara exponerat för utöver de som ingår i standardformeln: • Likviditetsrisk, risken för att S:t Erik inte kan avyttra placeringar och andra tillgångar för att uppfylla sina finansiella åtaganden när de förfaller till betalning. • Strategisk risk, vilket refererar till S:t Erik styrelses och lednings förmåga att planera, organisera och kontrollera verksamheten d.v.s. risken för ett misslyckande att anpassa rörelsen till trender i nya försäkringstyper, parera för ökad konkurrens eller generellt reagera på förändringar i marknadsförutsättningarna. • Ryktesrisk, vilket refererar till risken att inkomster och kapital påverkas negativt pga. ett skadat varumärke. 3.2.3 Uppskattning av kapitalbehovet för identifierade risker Efter att S:t Eriks riskprofil har blivit identifierad och definierad skall kapitalåtgången uppskattas. Processen skall ske enligt följande steg: 3.2.3.1 Utvärdering per riskkategori Varje riskkategori som har identifieras måste utvärderas individuellt. Utvärderingen måste dokumenteras och alltid resultera i en kvalitativ bedömning. Även en kvantitativ bedömning skall genomföras om så är möjligt. 3.2.3.2 Utvärdering av hur risker är hanterade och kontrollerade Även om inte alla risker kan kvantifieras så skall de beskrivas och hanteringen av dessa dokumenteras och utvärderas. 3.2.3.3 Kapitalutvärdering Uppskattningen av kapitalbehovet skall grunda sig på den kvalitativa och kvantitativa analysen enligt ovan. I utvärderingen bör även korrelation mellan olika riskkategorier tas i beaktande. Uppskattat kapitalbehov ska jämföras med S:t Eriks analys av nuvarande och framtida finansiella situation. S:t Eriks förväntade kapitalutveckling, planerad utdelning och möjliga kapitalanskaffningskällor skall framgå från utvärderingen. 3.2.3.4 Framtagande av stressade scenarier För bolagets riskprofil och affärsplan relevanta scenarier som innebär en negativ utveckling ska tas fram och utvärderas för att bedöma bolagets motståndskraft och identifiera åtgärdsbehov eller beredskapsplaner. Scenarierna bör sammantaget innefatta utvärdering av de mest väsentliga hoten mot bolagets kapitalisering. Faktorer att beakta vid utformningen är exempelvis ökade skadefrekvenser, att stora skador eller katastrofer inträffar, försämrad betalningsförmåga hos återförsäkrare, ökade kostnader för drift eller återförsäkring samt regulatoriska förändringar. 6 (10) Stresstester ska utföras i samma omfattning som ORSA och föregår ORSA som sådan, dvs vid förändringar som möjligen kan initiera en ORSA utförs stresstester för att se om en ORSA är behövlig. Stresstesterna ska, precis som ORSA, avse utvecklingen de kommande tre åren (se 3.2.1 ovan) 3.3 Process 3.3.1 Årsprocess för ORSA Följande är processen för den ordinarie, årliga ORSA:n: 1. ORSA- processen inleds under våren då verksamheten har affärsplanering. En bedömning utförs om eventuella framtidsplaner och förväntad marknadsutveckling föranleder att ett utkast till ORSA ska tas fram till styrelsens strategimöte. 2. Vid styrelsens strategimöte i september fattar styrelsen beslut om stresstester och utkastet till affärsplan (verksamhetsplan) och beaktar då resultatet av ORSA kopplat till relevanta strategiska beslut. 3. I oktober utarbetar verksamheten ett förslag till budget där verksamhetsplanen kläs i siffror. I samband med detta genomförs en årlig genomgång av bolagets samtliga risker på en övergripande nivå inklusive affärsrisker. Ett underlag till ORSA-rapporten tas fram. 4. Vid styrelsemötet i november beslutar styrelsen om bolagets budget på ett år. De tar även del av ett utkast till ORSA-rapport baserad på antagen affärsplan. 5. Under december och januari utarbetar verksamheten ett utkast till flerårsbudget. ORSA-rapporten uppdateras utifrån årsbokslut och prognos. Då årsbokslutet fastställs justeras ORSA-rapporten. 6. Vid styrelsemötet i mars beslutar styrelsen om ORSA på kort och medellång sikt. 7. VD tillser att verksamheten informeras om ORSA-rapporten och att ORSA skickas in till Finansinspektionen. ORSA-processen inleds under våren. Inför affärplanering. Ett utkast till ORSA påbörjas. I mars beslutar styrelsen om ORSA på kort och September – lång sikt. Strategimöte. Styrelsen fattar beslut om utkastet ORSA skickas till till affärplan. Finansinspektionen. Oktober - Förslag till December – januari budget. Årlig Utkast till flerårsbudget genomgång av bolagets ORSA- rapporten samtliga risker på uppdateras. övergripande nivå. November- Styrelsen beslutar om budget på ett år. Tar del av utkast av ORSA-rapport baserad på antagen affärsplan. 7 (10) 3.3.2 Process vid extraordinär ORSA Ovan framgår när extraordinär ORSA ska upprättas eller övervägas. Följande steg ingår i beslut om upprättande av extraordinär ORSA: 1. VD informeras att skäl för extraordinär ORSA föreligger 2. VD informerar styrelseordförande om detta 3. Styrelseordförande avgör om styrelsen ska sammankallas för extra möte eller informeras 4. VD avgör i samråd med styrelseordförande om processen ska inledas i avvaktan på beslut från styrelsen 5. Underlag för beslut om genomförande av extraordinär ORSA tillställs styrelsen som beslutar om genomförande ska ske I övrigt hanteras denna process enligt samma metod som för årlig ORSA. Processtegen enligt den årliga ORSA:n gäller där så är tillämpligt, med beaktande att den extraordinära ORSA:n ska slutföras på väsentligt kortare tid varför endast de steg som är nödvändiga behöver genomföras. 3.3.3 Granskning av ORSA-process Den årliga ORSA-processen ska utvärderas av styrelsen. VD och Riskhanteringsfunktionen ansvarar för att styrelsen erhåller underlag för utvärderingen. Utvärderingen ska sammanfattas i ORSA-rapporten. Styrelsen kan även besluta om att processen ska granskas av internrevisionen eller annan funktion, vilket dokumenteras i separat rapport. 3.4 ORSA-organisation; ansvar, kontroller och dokumentation 3.4.1 Styrelsen Styrelsen är ytterst ansvarig för ORSA-processen och ska initiera denna, delta aktivt och utmana de kvalitativa och kvantitativa bedömningarna, risker, stresstester m.m., och fatta beslut om ORSA. Styrelsens beslut dokumenteras i protokoll. 3.4.2 VD VD har det operativa ansvaret för att arbetet med ORSA genomförs i enlighet med dessa riktlinjer. VD ansvarar för att: a) Tillställa styrelsen underlag för initierande av årlig eller extraordinär ORSA b) Riskhanteringsfunktionen driver och sammanställer arbetet med ORSA c) Fördelar ansvar och uppgifter utöver det som anges i denna policy d) Det finns tillräckliga resurser för arbetet och att de olika funktionerna inom bolaget är delaktiga e) Tillställa styrelsen förslag till ORSA-rapport f) Inrapportera ORSA-rapporten till Finansinspektionen 8 (10) 3.4.3 Riskhanteringsfunktionen Riskhanteringsfunktionen ansvarar för att: a) Driva ORSA-processen och sammanställa ORSA-rapporten b) Genomföra riskworkshop och ta fram beskrivning av riskprofil c) Beskriva stressade scenarier d) Översiktligt kontrollera beräkningar och utfall e) Utvärdera riskhanteringssystemet f) Med stöd av aktuarien utvärdera standardformelns lämplighet 3.4.4 Aktuarien Aktuarien ansvarar för att: a) Bidra till utformning av stressade scenarier b) Bidra till utvärdering av bolagets kapitalbehov c) Göra aktuariella beräkningar för nuvarande och framtida finansiell ställning d) Kontrollera rimlighet i utfallen i prognoserna e) Uttala sig om kvalitéten på datakällor f) Utvärdera och uttala sig om regelefterlevnaden kring FTA och kapitalkrav (MCR och SCR) 3.4.5 Ekonomifunktionen Ekonomifunktionen deltar i p 3.2.1 ovan samt tillhandahåller Års-QRT och Årsredovisning till berörda centrala funktioner samt eventuellt annat material som efterfrågas av funktionerna. (Beräkningar sker enligt Instruktion för beräkning av SCR och MCR, validering av årsrapportering och Rapporteringsrutiner vid kvantitativ solvens II rapportering). 4 Kontroller och dokumentation Vid arbete med framtagande av ORSA sker en mängd behandling av data som måste kontrolleras avseende datakälla och kvalité. Det ska eftersträvas en dualitet, så att prognoser och beräkningar om möjligt kontrolleras av annan funktion eller medarbetare än de som utfört dem. Riskhanteringsfunktionen har huvudansvar för att kontrollera och sammanställa resultat och ska i detta arbete bedöma tillförlitligheten i dessa. En mycket viktig del i hela denna ORSA-process är att varje resultat och, i rimlig utsträckning, alla delresultat sparas på ett säkert sätt för att underlätta revision av processen samt säkerställa en god årlig process vid genomförandet av ORSA. 5 Struktur och innehåll i ORSA-rapporten Det finns ingen i regelverken bestämd form för ORSA-rapporten. Det finns dock krav på att vilken information som ska ingå i rapporten. S:t Eriks bedömning är att följande ska ingå, dock utan att i denna policy ange hur rapporten ska disponeras: 9 (10) • Lagrum och andra tillståndsfrågor relevanta för bedömningen • Målet med ORSA-processen • En beskrivning av affärsmodellen, organisationen, legal struktur och affärsplan, med särskilt fokus på riskhanteringssystemet • En beskrivning av bolagets nuvarande riskprofil och eventuella förväntade förändringar av denna under prognosperioden. Beskrivningen ska innefatta samtliga väsentliga risker, inte endast de som innefattas i standardformeln • En utvärdering om bolagets riskhanteringssystem är lämpligt givet nuvarande och förväntad riskprofil • Historisk utveckling av bolagets finansiella ställning, inklusive resultat, balansräkning och kapitalisering (om relevant även enligt tidigare gällande regelverk) • Nuvarande finansiell ställning och kapitalisering, inklusive kapitalbasens och kapitalkravens sammansättning • Framtida resultat och solvens vid en förväntad utveckling enligt affärsplan och treårsbudget • Framtida resultat och solvens vid olika scenarier för negativ utveckling relativt affärsplanen • Slutsatser från bedömningen i fråga om bolagets nuvarande och framtida kapitalisering, affärsmodell och riskhanteringssystem ska ingå, inklusive vilka åtgärder dessa föranleder och vilka åtgärder (beredskapsplaner) som bör övervägas • En utvärdering av standardformelns lämplighet inklusive en bedömning av om ytterligare kapital utöver det som resulterar från standardformeln krävs • En bedömning av bolagets solvens- och kapitalbehov • En bedömning av kvaliteten i datakällor som använts i arbetet • En utvärdering och bedömning av regelefterlevnaden kring FTA och kapitalkrav (MCR och SCR) • En utvärdering av processen inklusive förslag till förbättringar 6 Rapportering Rapporten som beskriver den egna risk- och solvensbedömningen ska inlämnas till Finansinspektionen senast två veckor efter att den fastställts av styrelsen. VD ansvarar för att inlämning sker. 10 (10) --- [23 Riktlinje för skadereglering 2026.pdf] S:T ERIK FÖRSÄKRINGS AB:S RIKTLINJER FÖR SKADE- REGLERING, REGRESSHANTERING OCH UTREDNING VID MISSTANKE OM FÖRSÄKRINGSBEDRÄGERI I FASTSTÄLLD AV STYRELSEN 2024-05-24 1 ALLMÄNT .....................................................................................................................................................3 2 SKADEREGLERING ....................................................................................................................................3 2.1 Aktiv service ................................................................................................................3 2.2 Råd och anvisningar .....................................................................................................3 2.3 Information om åtgärder och beslut .............................................................................3 2.4 Fullständig utredning ....................................................................................................3 2.5 Information om fördröjning .........................................................................................3 2.6 Lyhördhet och sekretess ...............................................................................................3 2.7 Bolag skall komma överens .........................................................................................3 2.8 Konsekvent skadereglering ..........................................................................................3 2.9 Rätt ersättning ..............................................................................................................3 2.10 Försäkringskollektivets intressen .............................................................................4 2.11 Beslut ........................................................................................................................4 2.12 Hot och påtryckningar ..............................................................................................4 2.13 Felbedömningar ........................................................................................................4 2.14 Information om prövning av beslut ..........................................................................4 3 REGRESS .......................................................................................................................................................5 4 MISSTANKE OM FÖRSÄKRINGSBEDRÄGERI M M ..........................................................................6 4.1 Utredning ......................................................................................................................6 4.2 Resultat av utredningen ................................................................................................6 4.3 Sekretess .......................................................................................................................7 4.4 Kontakt med polis och åklagare ...................................................................................7 2 (7) 1 Allmänt Dessa riktlinjer har upprättats i enlighet med de rättsregler som anges i dokumentet ”Register över rättsregler”. Riktlinjerna har fastställts av styrelsen för S:t Erik Försäkrings AB och skall revideras årligen. Ansvarig för revidering av dessa riktlinjer och utseende av skadeansvarig är VD. Nedan angivna riktlinjer skall följas av bolagets skadeansvarig, anställda och uppdragstagare. 2 Mål Målet med riktlinjen är att säkerställa att arbetet med skadereglering, regresser och försäkringsbedrägerier bedrivs på ett väl fungerande och effektivt sätt i enlighet med gällande regelverk. 3 Skadereglering Riktlinjerna anger vad som skall iakttas vid varje skadetyp. 3.1 Allmänna riktlinjer 3.1.1 Aktiv service Försäkringsbolaget skall lämna aktiv service och utredningen skall utföras så snabbt som möjligt. 3.1.2 Råd och anvisningar Råd och anvisningar skall lämnas om vilka åtgärder som skall vidtagas för att begränsa en skadas verkningar. 3.1.3 Information om åtgärder och beslut Kunden skall på ett enkelt och lättfattligt sätt informeras om sina rättigheter och skyldigheter samt om bolagets åtgärder och beslut 3.1.4 Fullständig utredning Bolaget skall i samarbete med kunden tillse att utredningen blir så fullständig som möjligt. 3.1.5 Information om fördröjning Om ett skadeärende fördröjs är det viktigt att upplysa kunden om anledningen. Beror dröjsmålet på kunden, skall han informeras om att den fortsatta handläggningen är beroende av hans åtgärder. 3.1.6 Lyhördhet och sekretess Handläggningen skall ske smidigt och med lyhördhet för kundens individuella förhållanden. Gällande sekretessbestämmelser skall iakttas. 3.1.7 Bolag skall komma överens Om flera försäkringsbolag berörs av samma skada, skall bolagen komma överens om handläggningen så att skaderegleringen inte fördröjs 3 (7) 3.1.8 Konsekvent skadereglering Skaderegleringen skall vara konsekvent, enhetlig och rättvis. 3.1.9 Rätt ersättning Ersättningen skall bestämmas med tillämpning av försäkringsavtalets bestämmelser, skaderegleringspraxis och gällande rättsregler. Kunden skall ha den ersättning han är berättigad till, även om han på grund av otillräckliga kunskaper om ersättningsregler eller av andra skäl begär mindre. 3.1.10 Försäkringskollektivets intressen Om det finns anledning anta att kunden inte agerar korrekt skall bolaget sträva efter att skydda samtliga försäkringstagares intressen. 3.1.11 Beslut Beslut skall motiveras. 3.1.12 Hot och påtryckningar Det är nödvändigt att inta en fast hållning mot hot och otillbörliga påtryckningar 3.1.13 Felbedömningar Om det visar sig att ett ärende blivit felbedömt, skall kunden omedelbart informeras härom och ändring ske snarast. 3.1.14 Information om prövning av beslut Om ersättning inte lämnas eller om den reduceras, skall bolaget lämna kunden upplysning om de möjligheter till prövning av bolagets beslut som finns. 3.2 Skadeprocess Skadeprocessen framgår av bolagets Instruktion för skadereglering. 4 (7) 4 Regress Enligt kommunallagen, som gäller båda för de kommunala förvaltningarna och bolagen, får kommuner ha hand om sådana angelägenheter av allmänt intresse som har anknytning till kommunens område eller deras medlemmar och som inte skall handhas av någon annan. En kommun får således inte gynna enskilda utan särskilt lagstöd. I detta ligger också att en kommun eller ett kommunalt bolag inte får efterge en rätt som man har. Om S:t Erik Försäkring, efter en noggrann juridisk analys, kommer fram till att bolaget har en fordran på en enskild som t ex har förorsakat en brand i en byggnad eller vållat en vattenskada, är bolaget skyldigt att kräva in denna fordran. Om så erfordras måste bolaget väcka tala vid domstol för att driva in sin fordran. I bedömningen om kravet skall drivas mot enskild bör även beaktas vad som anges i reglerna om ekonomisk förvaltning: ”Indrivning av en fordran får avbrytas om ytterligare indrivningsförsök är utsiktslösa eller inte är försvarliga med hänsyn till kostnaderna och inte krävs från allmän synpunkt.” Återkrav av utgiven ersättning skall ske från den som är ansvarig för skadan och vid dubbelförsäkring (där en och samma risk är försäkrad hos två eller flera bolag) hos det eller de bolag där försäkring finns för den aktuella risken. 5 (7) 5 Misstanke om försäkringsbedrägeri m m Försäkringsidén bygger på ett ömsesidigt förtroende mellan försäkringstagaren och försäkringsbolaget, där bolaget vid skaderegleringen bör kunna utgå från att försäkringstagarens uppgifter är riktiga. Bolaget skall beakta försäkringstagarkollektivets intresse av att inte en enskild försäkrad gynnas otillbörligt. Målet för bolagets utredning är att skaffa ett tillräckligt underlag för beslut i ersättningsfrågan. Det ska dock understrykas att det inte ankommer på försäkringsbolagen att utreda och beivra brott. Ansvaret för detta ligger på polis och åklagare. Förevarande riktlinjer anger hur utredningar inom bolaget skall gå till. De är tillämpliga på utredning av skador inom samtliga försäkringstyper. Riktlinjerna ska vara en garanti för att försäkringstagare inte utsätts för misstankar om brott på felaktiga grunder. De ska även säkerställa att bolaget inte betalar ut ersättning till följd av felaktiga uppgifter från den försäkrade. I den mån bolaget uppdrar åt någon utomstående att fullgöra viss utredningsverksamhet, åligger det bolaget att säkerställa att riktlinjerna tillämpas även i detta fall. 5.1 Utredning Vid misstanke om oriktiga krav eller bedrägeri beslutar VD om en särskild utredning ska göras för att få misstanken undanröjd eller bekräftad. VD beslutar även vem som skall utföra utredningen. Utredningens syfte är att skapa ett underlag för ett riktigt beslut i ersättnings- frågan. Den försäkrade bör snarast underrättas när utredning görs i syfte att skapa klarhet i ersättningsfrågan om sådan underrättelse inte kan antas vara till men för utredningen. Bolaget bör också ge den försäkrade möjlighet att förklara oklara omständigheter. 5.2 Resultat av utredningen Utredningen kan i princip ge följande tre resultat: 1. Stöd för misstanke om brott föreligger inte. Skadeärendet regleras i normal ordning. 2. Försäkringsfall är inte visat eller ersättningsbart försäkringsfall föreligger inte, men tillräckligt underlag för en polisanmälan saknas. Ersättning utbetalas inte och den försäkrade erinras om sin rätt att få ärendet prövat vid allmän domstol. 3. Stöd för misstanke om försäkringsbedrägeri eller försök därtill föreligger. Ersättning utbetalas inte och ev polisanmälan görs. Om bolagets beslut innebär att den försäkrade inte får någon ersättning eller endast en del av begärd ersättning, ska denne så snart som möjligt skriftligen meddelas bolagets slutliga ställningstagande. Skälen till bolagets beslut ska härvid redovisas samt även resultatet av utredningen i lämplig sammanfattning. Det ska stå klart för den försäkrade varför bolaget inte betalar. 6 (7) Det kan finnas skäl att inte lämna ut hela utredningsmaterialet, t ex om polisutredning pågår eller av hänsyn till enskild uppgiftslämnare. Det bör av bolagets information framgå att beslutet är slutligt samt att den försäkrade har rätt att få ärendet prövat vid allmän domstol genom att väcka talan mot försäkringsbolaget. 5.3 Sekretess Utredningen tillförs ofta material som innehåller känsliga och förtroliga uppgifter angående såväl den försäkrade som andra personer vilka berörs av utredningen. Detta material ska omfattas av hög sekretess och hanteras med stor varsamhet. Bolaget skall vid varje tillfälle beakta gällande offentlighets- och sekretesslagstiftning. Vid tveksamhet skall Stockholms stads juridiska avdelning konsulteras. 5.4 Kontakt med polis och åklagare Polisanmälan sker genom beslut av VD i samråd med Stockholms stads juridiska avdelning. 6 Information till centrala funktioner Samtliga personer och/eller organisationsenheter inom bolaget ska informera riskhanterings-, internrevisions-, regelefterlevnads- och aktuariefunktionerna om eventuella omständigheter som är relevanta för deras respektive uppgifter. 7 (7) --- [24 Riktlinje för uppdragsavtal 2026.pdf] RIKTLINJER FÖR UPPDRAGSAVTAL I S:T ERIK FÖRSÄKRING AB FASTSTÄLLD AV STYRELSEN 2026-05-13 INNEHÅLLSFÖRTECKNING 1 ALLMÄNT .....................................................................................................................................................3 2 SYFTET MED RIKTLINJERNA ................................................................................................................3 3 ANSVARSFÖRDELNING ............................................................................................................................3 4 KRITISKA ELLER VIKTIGA OPERATIVA FUNKTIONER OCH AKTIVITETER ........................4 5 RISKANALYS ................................................................................................................................................5 6 VERKSAMHETER SOM IDAG BEDRIVS PÅ UPPDRAGSAVTAL ....................................................5 7 MINIMIKRAV SOM SKA VARA UPPFYLLDA FÖR ATT VERKSAMHET SKA FÅ BEDRIVAS AV EXTERN PART GENOM UPPDRAGSAVTAL ..........................................................................................6 8 UPPDRAGSAVTALETS INNEHÅLL ........................................................................................................7 9 UPPFÖLJNING .............................................................................................................................................9 10 ANMÄLAN TILL FINANSINSPEKTIONEN ............................................................................................9 11 DOKUMENTATION .....................................................................................................................................9 BILAGA 1 – RISKANALYS OUTSOURCING, (EX) ......................................................................................10 2(11) 1 Allmänt Dessa riktlinjer har upprättats i enlighet med de rättsregler som anges i dokumentet ”Register över rättsregler” och har fastställts av styrelsen för S:t Erik Försäkring AB. Riktlinjerna är föremål för revidering och skall fastställas årligen av styrelsen. 2 Syftet med riktlinjerna Riktlinjerna har till syfte att reglera vilken typ av verksamhet i bolaget som får läggas ut på uppdragsavtal samt under vilka förutsättningar detta får ske. Ett uppdragsavtal får inte avse operativ verksamhet eller funktioner som är av väsentlig betydelse, om det kan leda till att: • kvaliteten i företagsstyrningssystemet försämras väsentligt, • den operativa risken i företaget ökar väsentligt, • Finansinspektionens möjlighet att utöva tillsyn försämras, eller, • försäkringstagarnas möjlighet till tillfredsställande och fortlöpande service inte kan upprätthållas. 3 Ansvarsfördelning Styrelsen ansvarar ytterst för den verksamhet som utförs på uppdragsavtal. Styrelsen ska fastställa huruvida en funktion eller aktivitet är kritisk eller viktig för företagets verksamhet och godkänna att sådan verksamhet får utföras genom uppdragsavtal. Beslutet skall föregås av en riskanalys enligt kap 5. För uppdragsavtal avseende molntjänster bör ledning hämtas från EIOPAS Riktlinjer om uppdragsavtal med molnleverantör (EIOPA 20-002) riktlinje 7. För uppdragsavtal eller leverantörsavtal med tjänsteleverantörer avseende IKT-tjänster, ska Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn samt (EU) 2024/1773, nedan DORA, beaktas. VD ansvarar för: • att bolaget utövar sitt beställaransvar genom att på bolaget utse en ansvarig för den utlagda verksamheten och att ansvarig har tillräckliga kunskaper för att kunna leda och kontrollera tjänsteleverantören. Kraven på ansvarig person framgår av bolagets Riktlinjer för lämplighet av styrelse, ledning och nyckelfunktioner. • att minimikraven för outsourcing i kap 7 är uppfyllda, • att styrelsen tillställs en riskanalys inför beslut om outsourcing avseende kritiska eller viktiga funktioner, 3(11) • att avtal upprättas med extern part i enlighet med LOU (avtal mellan S:t Erik Försäkring och S:t Erik Livförsäkring upprättas av styrelsen i enlighet med gällande firmateckningsrätt) • att uppföljning sker av den verksamhet som utförs på uppdragsavtal • att de som utför verksamheten på uppdragsavtal får del av och följer de riktlinjer och policys som antagits av styrelsen • att godkänna upphandlingsunderlaget och tillställa detta till styrelsen för godkännande avseende kritiska eller viktiga funktioner • att årligen rapportera utfallet (kontraktsuppföljning) av outsourcad verksamhet till styrelsen. • att Finansinspektionen informeras om planerad eller förändrad outsourcing och ansvarig person Av VD delegerad ansvarig person för den outsourcade verksamheten skall, med hänsyn till verksamhetens art och omfattning, löpande, följa upp uppdragstagarens arbete och ska minst årligen genomföra en dokumenterad utvärdering av verksamheten och rapportera den till VD. Riskhanteringsfunktionen ansvarar för att på verksamhetens begäran bistå verksamheten i riskanalys vid kritiska eller viktiga funktioner. Regelefterlevnadsfunktionen ansvarar för att på verksamhetens begäran bistå verksamheten i bedömningen av om ett uppdragsavtal, avseende kritiska eller viktiga, funktioner följer gällande regelverk eller inte. Informationssäkerhetssamordnaren ansvarar för att på verksamhetens begäran bistå verksamheten i bedömningen av om ett uppdragsavtal, särskilt avseende IT system eller molntjänster, följer regelverket för informationssäkerhet och de krav eller åtgärder som erfordras. Samtliga personer och/eller organisationsenheter inom bolaget ska informera riskhanterings-, internrevisions-, regelefterlevnads- och aktuariefunktionerna om eventuella omständigheter som är relevanta för deras respektive uppgifter, likväl som de centrala funktionerna ska delge varandra den information som behövs för respektive funktion. 4 Kritiska eller viktiga operativa funktioner och aktiviteter En funktion eller aktivitet anses vara kritisk eller viktig om den är nödvändig för att bolaget ska kunna tillhandahålla tjänster i bolagets kärnverksamhet åt försäkringstagarna. Vid en bedömning av om en funktion är kritisk eller viktig kan ledning hämtas från EBA:s riktlinje GL/2019/02. För uppdragsavtal avseende molntjänster eller övriga tjänster som klassificeras som IKT- tjänster, bör ledning hämtas från DORA-förordningen (EU) 2022/2554 och (EU) 2024/1773. 4(11) Styrelsen har identifierat följande funktioner och aktiviteter som kritiska: • VD • aktuariella tjänster, • IT • oberoende granskare • regelefterlevnad • skadereglering • försäkringshantering • riskhantering • ekonomi 5 Riskanalys Riskanalys skall genomföras av bolaget och, avseende kritiska eller viktiga funktioner, vara ett underlag för styrelsens beslut om outsourcing. Vid förnyad outsourcing ska ny riskanalys genomföras om riskerna har ändrats. Riskanalysen ska innehålla en beskrivning av: • funktionen eller aktiviteten som uppdragsavtalet avser, • beställaransvarig och erforderlig kompetens, • hur minimikraven nedan säkerställs, • beredskapsplan för att avsluta uppdragsavtalet (skrivs in i bolagets krisplan), • risken att minimikraven inte uppnås, • Om outsourcingen innefattar IKT-tjänster, ska riskanalysen även innefatta analys av system, rapporteringsvägar och serviceavtal (SLA). Riskanalys utförs i enlighet med bilaga 1. För uppdragsavtal avseende molntjänster av kritiskt eller viktig funktion ska även EIOPA 20-002 riktlinje 8 och 9 beaktas. Riskanalys utförs i enlighet med bilaga 1. För uppdragsavtal avseende molntjänster av kritiskt eller viktig funktion ska även DORA-förordningen (EU) 2022/2554 och (EU) 2024/1773 beaktas. 6 Verksamheter som idag bedrivs på uppdragsavtal Verksamhet som idag bedrivs på uppdragsavtal är: 5(11) • aktuariella tjänster, • IT • internrevision • regelefterlevnadsfunktionen • riskhanteringsfunktionen • skadereglering 7 Minimikrav som ska vara uppfyllda för att verksamhet ska få bedrivas av extern part genom uppdragsavtal För att en verksamhet ska få läggas ut på uppdragsavtal krävs det att: • tillräcklig beställarkompetens finns inom bolaget för att kunna upphandla och kontrollera den utlagda verksamheten, • leverantören är ”fit” genom att ha tillräcklig kompetens för att långsiktigt utföra uppdraget med god kvalitet och med väl fungerande internkontroll, • leverantören är ”proper” genom att kraven på lämplighet i LOU uppfylls, • bolaget kan styra, följa upp och revidera uppdraget i tillräcklig omfattning, • det kan säkerställas att gällande sekretesskydd kan vidmakthållas och regler avseende personuppgifter kan följas, • bolaget och leverantören upprättar och vidmakthåller en beredskapsplan för den aktuella verksamheten i syfte att om möjligt mildra effekterna av oförutsedda händelser, övergång av verksamheten till annan leverantör eller bolaget, • Finansinspektionens möjlighet att bedriva tillsyn av den aktuella verksamheten vidmakthålls och att uppdragstagaren samarbetar med Finansinspektionen gällande de funktioner eller verksamhet som omfattas av uppdragsavtalet samt på begäran ger Finansinspektionen faktiskt tillträde till dess lokaler, • bolaget fortsatt kan tillgodose samtliga sina skyldigheter mot sina intressenter inklusive Finansinspektionen och samtliga kunder, • uppdragstagaren ger försäkringsföretaget, dess revisorer och Finansinspektionen tillgång till uppgifter som rör de funktioner eller verksamhet som omfattas av uppdragsavtalet • frågor kring jäv och intressekonflikter identifieras och utreds, 6(11) • att reglerna om offentlig upphandling följs, • att gällande rätt följs i övrigt, • den utlagda verksamheten regleras i ett skriftligt avtal där parternas samtliga rättigheter och skyldigheter regleras, • kvaliteten i bolagets försäkringsstyrningssystem inte försämras väsentligt, • den operativa risken i bolaget inte ökar väsentligt, • försäkringstagarnas möjlighet till tillfredsställande och fortlöpande service kan upprätthållas • verksamhetens övriga riktlinjer kan följas, särskilt avseende informationssäkerhet och personuppgifter • För molntjänster av ska även EIOPA 20-002 riktlinje 2,6, 12 och 15 beaktas. • För molntjänster av ska även DORA (EU) 2022/2554 och (EU) 2024/1773 beaktas. 8 Uppdragsavtalets innehåll I avtal med extern part skall nedanstående punkter regleras. För molntjänster ska även EIOPA 20-002 riktlinje 10-13 och 15 beaktas. • krav på tjänsten/varan – omfattning • krav på leverantörens kompetens, kvalité och internkontroll • avtalsperiod • kontaktperson hos leverantören som är ansvarig för uppdraget • partsoberoende (intressekonflikter)- riktlinjer avseende jäv och intressekonflikter och hur dessa kontrolleras • riktlinjer för styrning, uppföljning och revidering av uppdraget • ersättning, mervärdesskatt, prisjustering, fakturering och betalningsvillkor • skatter och avgifter • underleverantörer o samma ansvar som leverantören o efter Beställarens godkännande/anmälan till Beställaren 7(11) • personal - kompetens, förändringar • marknadsföring • rättigheter till material • rättsintrång • fel • försening och brister i tillgänglighet • sekretess • information mellan parterna (inkluderar även att bolaget ska kunna ta del av leverantörens resultat om det är väsentligt för bolaget att få uppgift om detta) • ansvar mellan parterna • försäkring • säkerhet • force majeure • ändringar och tillägg • överlåtelse av avtal, rättigheter och skyldigheter • uppsägning • tillämplig lag och tvistefora • leverantören ska följa bolagets riktlinjer och policys • personuppgifter • särskilda kontraktsvillkor, bl a. antidiskrimineringsklausul • beredskapsplan för oförutsedda händelser och återgång av verksamheten • leverantörens medverkan vid upphandling och återgång och behjälplighet med eventuell överföring av uppdraget och uppgifter till en ny leverantör • möjlighet för Beställaren och Finansinspektionen att bedriva tillsyn av den outsourcade verksamheten (detta inkluderar också att Beställarens interna och externa revisorer får tillgång till uppgifter om den utlagda verksamheten) 8(11) • om uppdragstagaren nyttjar IKT-tjänst som är kritisk för Bolaget eller om uppdragstagaren upplåter nyttjande av IKT-tjänst till Bolaget, ska artikel 28-32 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn samt (EU) 2024/1773, DORA, beaktas. 9 Uppföljning Uppföljning av uppdragsavtal sker riskbaserat i verksamheten samt av bolagets styrelse och utgår från utifrån bolagets Instruktion för kontraktsuppföljning. För molntjänster ska även EIOPA 20-002 riktlinje 11 och 14 beaktas. För molntjänster ska även DORA (EU) 2022/2554 och (EU) 2024/1773 beaktas. 10 Anmälan till Finansinspektionen VD eller delegerad ansvarar för att anmälan till Finansinspektionen sker av: • Ansvarig för verksamheten/funktionen på företaget • Verksamhet som avser operativ verksamhet eller funktioner av väsentlig betydelse ska anmälas in innan avtalet börjar gälla samt snarast vid förändringar av densamma. Vid uppdragsavtal som avser väsentliga funktioner ska en ansvarig för funktionen på företaget utses av VD och anmälas till Finansinspektionen. Detsamma gäller när nya avtal tecknas med leverantörer av kritiska och viktiga tjänster, alternativt IKT-tjänster som stödjer kritiska och viktiga tjänster. För leverantörsavtal och uppdragsavtal avseende IKT-tjänster ska artikel 28-32 i DORA beaktas. 11 Dokumentation Upphandling och dokumentation sker i bolagets upphandlings/avtalssystem samt under G/2.4 i bolagets databas beroende på typ av avtal. För det fall Bolaget ingår avtal avseende en ny IKT-tjänst, ska tjänsten dokumenteras i Bolagets IKT-register. Registret ska minst årligen rapporteras till FI samt om registrets innehåll förändras. därefter rapporteras till FI. 9(11) Bilaga 1 – Riskanalys outsourcing, (ex) Avtal: Intern/extern outsourcing: 1. Är syftet med outsourcingen att minimera system och/eller personalkostnader och införa en mer effektiv verksamhet? 2. Kan företaget försäkra att aktiviteterna som genomförs av en tredje part (Uppdragstagare) utförs under övervakade och säkra omständigheter? 3. Är det säkert att den externa uppdraget inte leder till en materiellt lägre kvalitet av företagets internkontroll eller FI:s möjlighet att övervaka företagets regelefterlevnad? 4. Om avtalet är mellan företag i gruppen: har frågor om intressekonflikter blivit speciellt belysta? 5. Är rättigheterna och skyldigheterna för det egna bolaget och Uppdragstagare dokumenterade i ett skriftligt avtal? 6. Finns det ett SLA-kontrakt (Service Level Agreement) eller motsvarande? 7. Specificerar avtalet att om uppdragstagaren skulle delegera till en annan aktör att utföra delar av det avtalade uppdraget så skall den detta uppdrag också innefattas av samma villkor och regler som det ursprungliga avtalet? 8. Specificerar avtalet alla aktörer som genomför uppdraget inte får vidarebefordra uppdraget till en annan aktör utan att detta har blivit skriftligt godkänt av företaget? 9. I de fall som uppdragsavtalet är relaterat till genomförandet av aktiviteter som avser tillståndspliktig verksamhet, ska det godkännas genom VD, avdelningschef eller företagschef. Är det så med aktuellt uppdrag? 10. Innehåller SLA-kontraktet villkor som säkrar att serviceavtalet kan avslutas utan att det påverkar kontinuiteten och kvaliteten på uppdraget som tillhandahålls till företagets kunder? (För IKT-tjänster, se p 21 nedan). 11. Säkerhetställer SLA-villkoren att uppdragstagaren sammarbetar med Finansinspektionen i relation till den outsourcade verksamheten? 12. Säkerhetsäller SLA-villkoren att uppdragstagaren har en lämplig kontinuitetsplan (BCP)? 13. Säkerhetställer SLA-villkoren att företaget dess revisorer, och FI ska ha aktuell och omedelbar tillgång till information som rör företagsaktiviter som är outsourcade och tillgång till lokalerna till uppdragstagaren? 10(11) 14. Innehåller SLA-villkoren metoder som ska etableras för att bedöma hur väl uppdragstagaren genomför sina åtaganden? 15. Innehåller SLA-villkoren det som behövs för att ändamålsenliga åtgärder vidtas om uppdragstagaren misslyckas med att genomföra uppdraget effektivt och bryter mot regelefterlevnaden? 16. Finns det en utnämnd en ansvarig person (i de flesta fall områdeschef eller motsvarande) för uppdraget/avtalet. Har den ansvariga personen den nödvändiga kunskapen som behövs för effektivt övervaka verksamheten som är outsourcad på uppdragstagaren, och att övervaka risken i förhållande till uppdraget? 17. Är det definierat i företagets kontinuitetsplan (BCP) hur uppdraget kan avslutas och tas tillbaka till verksamheten utan större avbrott i verksamheten? (För IKT-tjänster, se p 21 nedan). 18. Innehåller BCP-planen en krisplan som ska testas regelbundet? 19. Om personuppgifter eller konfidentiella uppgifter behandlas: kan företaget intyga att lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter finns hos uppdragstagaren? 20. Har företaget tillräckliga resurser för att utföra tjänsten? 21. Om outsourcingen innefattar IKT-tjänster, ska riskanalysen även innefatta analys av system, rapporteringsvägar och serviceavtal (SLA), koncentrationsrisker och eventuella övriga risker m.m. i enlighet med (EU) 2022/2554 och (EU) 2024/1773. 22. Outsourcing ska innefatta lämpliga exitstrategier för att minimera bolagets risk för bl.a. driftstopp eller andra oförutsedda händelser. Exitstrategier för IKT-tjänster ska därtill uppfylla kraven i (EU) 2022/2554 och (EU) 2024/1773. 11(11)