RIKTLINJER FÖR HANTERING AV OPERATIVA RISKER

Peak AM Securities AB

RIKTLINJER FÖR HANTERING AV OPERATIVA RISKER

Fastställda av styrelsen 2018-06-12

1. INNEHÅLL

Dessa riktlinjer beskriver hur Peak AM Securities AB, Bolaget, hanterar de operativa riskerna i verksamheten.

2. DEFINITIONER M.M.

Med operativa risker avses risker för förluster till följd av att interna processer och rutiner är felaktiga eller inte ändamålsenliga, mänskliga fel, felaktiga system, externa händelser, etc. Definitionen exkluderar strategisk risk.

Operativa risker är av den arten att de som regel är förknippade med förluster och uppstår som en naturlig del i den dagliga verksamheten. De ska kontrolleras och minimeras så långt som möjligt. Alla operativa risker kan inte undvikas, elimineras eller transfereras till annan part. Bolaget kan däremot, genom förebyggande riskanalyser och ändamålsenlig uppföljning, reducera kostnaderna och andra negativa effekter som kan uppstå. Kostnaderna för hanteringen måste stå i proportion till de direkta och indirekta förluster som kan uppstå om risken materialiseras.

Exempel på operativa risker är personalberoende, bedrägeri och legala risker. Bolaget har en relativt liten organisation som ger många fördelar i form av effektivitet men som också kan innebära risker vid t ex sjukdomsfall och i samband med personalomsättning. I och med att delar av Bolagets verksamhet är outsourcad till olika leverantörer uppstår även operativa risker i deras verksamhet. Dessa risker begränsas genom de avtal som tecknas med leverantörerna. För att skatta de operativa riskerna genomförs självutvärderingar och för att reducera dessa kartläggs alla större processer, involverade risker observeras och reduceringsåtgärder i form av t ex extra kontroller vidtas.

En genomgående regel för upprättandet av de interna reglerna är att ”hänsyn ska tas till verksamhetens art, omfattning och komplexitet”. Detta är i hög grad relevant för Bolaget som har en verksamhet som varken är omfattande eller speciellt komplex. Generellt sett är Bolagets riskaptit låg. Trots detta finns det gränser för hur stora resurser som kan satsas på att helt undvika operativa risker.

3. BAKGRUND

Dessa riktlinjer har upprättats med anledning av 2 kap. 2§ i Finansinspektionens föreskrifter och allmänna råd (FFFS 2014:4) om hantering av operativa risker. Där anges att ett värdepappersbolag ska ha interna regler för hantering av operativa risker som anger vilka operativa risker som företaget är exponerat mot, de metoder och processer som används för att identifiera, mäta och hantera operativa risker samt företagets riskaptit för operativa risker. Detta dokument utgör Bolagets interna regler i detta sammanhang och följer i stort sett uppställningen i de relevanta regelverken.

Riktlinjerna omfattar Bolagets styrelse, ledning, anställda, konsulter, samarbetspartners, ombud och uppdragstagare som är associerade med Bolagets verksamhet.

Riktlinjerna skall fortlöpande ses över och vid behov uppdateras. Den nya versionen antas av styrelsen. Riskfunktionen ska årligen bedöma innehållet i riktlinjerna och föredra sina iakttagelser, och eventuella förslag till ändringar, för styrelsen. Riktlinjerna ska varje år fastställas av styrelsen även om inga ändringar är aktuella.

4. IDENTIFIERADE OPERATIVA RISKER

De huvudsakliga kategorierna av operationell risk är:

• Legala risker & compliancerisker

• Personalrisker

• Processer

• IT och system

• Extern risk

Bolaget har identifierat risker enligt vad som följer nedan.

1. Legala risker

Förlust av Bolagets goda namn och rykte kan i värsta fall helt ödelägga bolagets verksamhet. Detta skulle kunna ske genom incidenter inom andra operativa riskområden som leder till att såväl befintliga som potentiella kunder tappar förtroendet för Bolaget. Det skulle även kunna ske som en följd av sanktioner från Finansinspektionen efter sådana felaktigheter. Bolaget skulle även kunna bli stämt till domstol i en skadeståndsprocess av kund, leverantör, eller annan part.

Legala risker som rör den tillståndspliktiga verksamheten hanteras genom att Bolagets styrelse har antagit en policy för regelefterlevnad samt en funktion för regelefterlevnad som syftar till att säkerställa att Bolaget följer de lagar, förordningar och föreskrifter som gäller för Bolagets tillståndspliktiga verksamhet.

Bolagets VD ansvarar för att säkerställa att alla avtal är undertecknade av rätt parter och finns tillgängliga på Bolaget. VD ansvarar även för att följa upp efterlevnaden av de avtal och regler som inte ingår i funktionen för regelefterlevnads ansvar. För att säkerställa att Bolaget följer upp att ingångna avtal och rättsliga handlingar är korrekta och för att hantera och följa upp rättsliga processer ska Bolaget även anlita extern oberoende juridisk expertis där det bedöms nödvändigt av Bolagets VD.

Bolaget upprätthåller en lista med samtliga avtal som anger datum för deras giltighet och säkerställer att Bolaget följer upp och förlänger avtal där så är nödvändigt, alternativt säger upp avtalen för omförhandling eller upphörande. VD ansvarar för att listan hålls aktuell.

Det är av största vikt att Bolaget undviker legala risker och ryktesrisker. Om en sådan riskhändelse ändå skulle inträffa skulle stort fokus och stora resurser satsas på att minimera konsekvenserna av detta.

2. Personalrisker

Bolagets verksamhet är mycket personalintensiv. Av Bolagets operativa risker är personalrisker en av de mest betydande. Bakom många incidenter i bolag ligger ”Den mänskliga faktorn”. Då Bolaget hanterar kunders finansiella tillgångar blir denna riskfaktor än mer betydande.

3. Risker förknippade med Bolagets tjänster och produkter

• Mottagande och vidarebefordran av order i fråga om ett eller flera finansiella instrument

• Utförande av orderavseende finansiella instrument på kunders uppdrag

• Diskretionär portföljförvaltning avseende finansiella instrument

• Investeringsrådgivning till kund avseende finansiella instrument

• Placering av finansiella instrument utan fast åtagande

• Förvara finansiella instrument för kunders räkning och ta emot medel med redovisningsskyldighet

• Utarbeta och sprida investerings- och finansanalyser samt andra former av allmänna rekommendationer rörande handel med finansiella instrument

Depåhanteringen handhas av Wahlstedt Sageryd Financial Services AB inom ramen för det uppdragsavtal som beskrivs under punkten BackOffice nedan.

4. Risker förknippade med Bolagets funktioner BackOffice

Bolagets funktion för BackOffice har uppdragits åt Wahlstedt Sageryd Financial Services AB (WS). Uppdragsavtalet innefattar fondadministration och depåhantering. WS är ett väletablerat företag med betydande kunskap och erfarenhet inom detta område med betydande resurser. WS har skadeståndsansvar gentemot Bolaget för eventuell felprissättning av fonder, o. dyl. och har försäkringsskydd mot detta. För den händelse att WS skulle upphöra med att erbjuda dessa tjänster kan Bolaget, inom uppsägningstiden på 6 månader, avtala om motsvarande från någon av de övriga leverantörer i Stockholm som också erbjuder dessa tjänster, såsom FCG och I-Sec, m.fl.

Compliance

Uppgiften att ansvara för funktionen för regelefterlevnad har uppdragits åt Harvest Advokatbyrå AB genom Xxxx Xxxx. Avtalets bakgrund är att Bolaget önskar säkerställa kompetensen inom området genom att anlita en firma med kritisk massa och stor erfarenhet inom området. Uppdragstagaren är en advokatbyrå med stor erfarenhet av den verksamhet som Bolaget bedriver. Bolaget bedömer risken för intressekonflikter som liten då uppdragstagaren bedriver helt annan verksamhet än Bolaget.

Internrevision

Uppgiften att ansvara för Bolagets funktion för internrevision har ålagts BDO Mälardalen AB. Avtalets bakgrund är att Xxxxxxx önskat säkerställa kompetensen inom området genom att anlita en firma med kritisk massa och stor erfarenhet av aktuellt uppdrag. Uppdragstagaren är en aktör med bred erfarenhet av den verksamhet som Bolaget bedriver. Bolaget bedömer risken för intressekonflikter som liten då uppdragstagaren bedriver en helt annan verksamhet än den verksamhet som Bolaget bedriver.

Attest och betalningar

Bolaget har en attestinstruktion som har antagits av styrelsen. I korthet ska alla betalningar attesteras av två av bolagets tre firmatecknare i förening. VVD attesterar betalningen av VD:s lönebetalning.

Bolagets CFO registrerar betalningar i bankens system men kan inte utföra några betalningar.

5. Processrisker

• Processen för godkännande och klassificering av nya kunder

• Rådgivningsprocessen

6. Risker förknippade med IT-system

• CRM

• Internet

• Drift av servrar

• Telefoni

5. RISKAPTIT FÖR OPERATIVA RISKER

En fullständig neutralisering av operativa risker är inte praktiskt möjlig då de är en naturlig del av verksamheten. Toleransnivån bör utformas så att riskerna minimeras till en nivå som innebär en god balans mellan förväntade förlustnivåer och kostnaderna för att reducera dem. En rimlig toleransnivå för ackumulerade operativa förluster på rullande 12-månadersbasis bedöms vara två procent av kapitalbasen vilket för Bolaget motsvarar ca 50 KSEK per år och för den finansiella företagsgruppen där Bolaget ingår, ca 150 KSEK per år. Om denna nivå överstigs skall särskild rapportering till styrelsen göras. Vi större förluster kan Bolagets rutiner för hantering av händelser av väsentlig betydelse bli tillämpliga. Utöver denna totalnivå ska även enskilda incidenter som orsakat kostnader på 10 KSEK rapporteras till styrelsen.

6. METODER OCH PROCESSER FÖR IDENTIFIERING OCH MÄTNING AV OPERATIVA RISKER

6.1. Inledning

6.2. Styrning, ansvar och organisation

Styrelsen ansvarar för upprättandet av dessa riktlinjer och att de hålls uppdaterade.

Verkställande direktören ansvarar för att informera alla berörda om bestämmelserna i dessa riktlinjer och att de hålls tillgängliga för samtliga som berörs av dem. Ansvaret innebär att se till att anställda, konsulter, samarbetspartners, ombud och uppdragstagare som berörs av riktlinjerna känner till innehållet i dessa.

Styrelse och VD

Styrelsen har det yttersta ansvaret för att trygga Bolagets tillgångar och ansvarar för att skapa en god riskmedvetenhet. VD har det verkställande ansvaret för den interna kontrollen.

Ledande befattningshavare

Respektive avdelningschef ansvarar för den fortlöpande hanteringen av operativa risker inom sin avdelning. De ska skapa riskmedvetenhet inom sitt verksamhetsområde och ansvara för att incidentrapportering utförs.

Övriga medarbetare

Samtliga medarbetare ansvarar för att följa gällande riktlinjer och instruktioner samt att aktivt bidra till att identifierade operativa risker kommuniceras till Riskfunktionen.

Riskfunktionen

Riskfunktionen ansvarar för metodutveckling för identifiering, kvantifiering och mätning av operativa risker. Funktionen ansvarar även för den löpande uppföljningen av operativa risker samt för rapportering till styrelse, VD och övrig företagsledning.

6.3. Metoder och tillvägagångssätt för riskidentifiering

Identifiering och kvantifiering av operativa risker

Riskfunktionen har ansvaret för metodutveckling kring identifiering och kvantifiering av operativa risker. Inom detta ansvarsområde ligger att regelbundet genomföra en översyn av de operativa riskerna i samband med IKU-arbetet, vilket bör ske minst årligen.

Riskidentifiering

Riskerna identifieras främst genom självutvärderingar och incidentanalyser. I de riskbeskrivningar som tas fram ska det tydligt framgådels vilken händelse risken kan ge upphov till, kategoriserat på händelsetyp, dels vad den bakomliggande orsaken är (t ex bristande kompetens, instabilt IT-system, bristande säkerhet, uppsåt för egen vinning, etc.), samt vilket värde som är exponerat (t ex finansiella tillgångar eller känslig information).

Fastställande och övervakning av riskaptit och limiter

Bolagets VD ska besluta om och regelbundet utvärdera och uppdatera limiter för operativa risker. Limiterna ska vara mätbara genom kvalitativa eller kvantitativa mått och baseras på en analys av Bolagets produkter, tjänster, funktioner, processer och IT-system. Limiterna syftar bland annat till att ge en utgångspunkt vid bedömningen av nya produkter och tjänster samt för att fastställa ett gränsvärde för att bedöma om nivån på Bolagets operativa risker är acceptabel. Om risknivån överstiger riskaptiten eller limiterna ska Riskfunktionen informeras om detta. Riskfunktionen ska regelbundet och minst en gång per år utvärdera limiterna och ge VD förslag till eventuella förändringar.

Bolagets styrelse beslutar om riskaptiten för operativa risker. Aptiten ska åtminstone anges på en övergripande nivå och kopplas till eskaleringsnivåer för förluster och identifierade risker. Om eskaleringsnivåerna överskrids ska Riskfunktionen informera styrelsen om detta. Riskfunktionen ska regelbundet och minst en gång per år utvärdera riskaptiten och ge styrelsen förslag till eventuella förändringar.

Riskfunktionen ska i sin rapportering till styrelse och VD ange nivån på de operativa riskerna i förhållande till den fastställda riskaptiten och beslutade limiter. Om risknivån överstiger den beslutade aptiten eller limiten ska Riskfunktionen ange vilka åtgärder som har vidtagits samt om dessa har varit effektiva för att hantera risken.

Kartläggning av processer

Bolaget ska fastställa och i en förteckning ange vilka processer som är av väsentlig betydelse för verksamheten. Processkartläggningen ska utföras minst en gång per år i samband med Bolagets riskutvärderingar, t.ex. i samband med förändringar av väsentliga processer. Processerna finns beskrivna i Bolagets verksamhetsplan.

6.4. Självutvärderingsprocessen

Självutvärderingsprocessen är en flödesorienterad riskanalys som innefattar en bedömning av processer och rutiner. Genom att studera verksamhetens mål kan ett antal risker identifieras vilka kan hindra företaget från att nå sina mål. Syftet är att identifiera de risker där kontrollnivån bedöms vara otillräcklig och som är väsentliga för Bolagets målformulering. Processen kommer att genomföras av ledningsgruppen i samband med IKU-arbetet. I ledningsgruppen ingår VD, ansvarig för Riskfunktionen och övriga ledande befattningshavare. I gruppen diskuteras mål och risker.

Sannolikheter och konsekvenser analyseras. Identifierade risker dokumenteras och Riskägare utses. Målsättningen är att definiera riskerna och deras potentiella påföljder samt identifiera indikatorer på riskhändelser.

6.5. Riskindikatorer

Exempel på riskindikatorer är:

• Kundklagomål

• Hög personalomsättning

• Många vakanta tjänster

• Incidenter rapporteras

• Frekventa omorganisationer eller verksamhetsförändringar

• Funktionen för riskkontroll eller funktionen för regelefterlevnad rapporterar om brister

6.6. Incidenter

Ett antal olika typer av incidenter kan inträffa i Bolagets verksamhet. Det kan vara allt från ett kortare strömavbrott eller ett obefogat klagomål till förlust av hela kontoret eller en längre rättsprocess. Det gemensamma för alla incidenter är att de ska hanteras skyndsamt och rapporteras efter en eskalerande skala beroende på hur allvarliga de är. De är ofta en konsekvens av någon av Bolagets operativa risker. Här beskrivs de incidenter/typer av incidenter som Bolaget har identifierat, hur de ska hanteras och hur de ska dokumenteras och rapporteras.

Alla operativa incidenter som förorsakar en direkt eller indirekt kostnad, alternativt en förlorad intäkt, skall rapporteras i Bolagets system för incidentrapportering.

6.7. Processer

Bolaget har ett antal processer i verksamheten som är av väsentlig betydelse som listas nedan men funktionsansvarig angiven inom parentes för varje process:

• Marknadsföring och distribution,

• Kundkategorisering

• Åtgärder mot penningtvätt och finansiering av terrorism (Försäljningschefen)

• Investeringsrådgivning (VD)

• Försäkringsförmedling (VD)

• Mottagande och vidarebefordran av order i fråga om finansiella instrument (VD)

• Placering av finansiella instrument utan fast åtagande (Förvaltningschefen)

• Utförande av order (Förvaltningschefen)

• Utarbeta och sprida investeringsanalyser (Förvaltningschefen)

• Diskretionär portföljförvaltning avseende finansiella instrument (VD)

• Förvara finansiella instrument och ta emot medel med redovisningsskyldighet (Förvaltningschefen)

• Redovisning och rapportering av Bolagets verksamhet (CFO)

• Rapportering till Finansinspektionen (CFO)

• Betalning av räkningar (attestering)

• NPAP (New Product Approval Process)

6.8. Säkerhetsarbete

Säkerhetsarbete

Bolaget ska ha en riktlinje för hantering av informationssäkerhet och IT-verksamhet som beslutats av styrelsen och som reglerar Bolagets hantering av risker relaterade till informationssäkerhet. Denna policy ska ange vilken information som ska skyddas och vilka åtgärder som ska vidtas för att skydda dessa. Policyn finns intagen i Bolagets verksamhetsplan med bilagor.

Bolaget har en beredskapsplan som bilaga till verksamhetsplanen. Denna innehåller även kontinuitetsplanering och återställningsplan. Här anges bland annat vilka värden och tillgångar som ska skyddas och vilka åtgärder som ska vidtas för att skydda dessa.

Bolaget ska årligen och i samband med riskutvärderingen utföra scenarioanalyser och simuleringar för att få en bättre förståelse för hur olika typer av hot, oegentligheter och brottsliga handlingar kan uppstå i företagets verksamhet.

6.9. Process för godkännande

Bolaget har en process för godkännande av nya eller väsentligt förändrade produkter, tjänster, marknader, processer, IT- system och större förändringar i Bolagets verksamhet och organisation.

Det händer regelbundet att förslag till nya produkter kommer upp, på egna initiativ eller efter förfrågan från kunder. Även nya tjänster kan kommat att efterfrågas alternativt att man vill etablera sig på nya marknader. Större strategiska beslut om nya verksamhetsområden, omorganisationer eller större IT-projekt behandlas i styrelsen innan projektet inleds. Detta för att styrelsen ska kunna bedöma lämplighet och kostnader i förhållande till Xxxxxxxx långsiktiga strategier.

Processen med utredning, utveckling och implementering leds sedan av Bolagets ledningsgrupp. Där ingår VD, VVD, Förvaltningschef, Marknadschef och CFO. Någon av dessa blir projektledare och avrapporterar löpande till ledningsgruppen för information och beslutsfattande. CFO måste ge sitt godkännande av en ny produkt avseende att den kan hanteras med redovisning och riskkontroll. Ledningsgruppen sammanträder regelbundet, ofta varje vecka. VD avrapporterar dess arbete till styrelsen. I strategiska frågor kan avstämning även behöva ske med partnergruppen.

Innan slutligt beslut om lansering/genomförande ska projektledare och ledningsgruppen ha försäkrat sig om att det ligger inom Bolagets tillstånd, lagar och regelverk samt att konsekvenserna för Bolagets kapitalbehov är acceptabla. Kontroll skall även ske av att det finns tillräckligt med personal, kompetens, interna regler, verktyg och processer i affärsenheter samt stöd- och kontrollfunktioner för att kunna förstå och övervaka riskerna i verksamheten. Förslag till beslut dokumenteras i en beslutspromemoria som formellt beslutas av ledningsgruppen eller styrelsen, beroende på projektets storlek. VD kan besluta om investeringar på upp till 1 MSEK, men kan alltid välja att gå till styrelsen för beslut.

Tillämpningsområden

Följande indikatorer ska åtminstone beaktas vid bedömningen av om processen för godkännande ska tillämpas:

• Förändringen omfattar mer än en isolerad del av verksamheten

• Förändringen har/kan ha påverkan på flera intressenter, även utanför Bolaget

• Det är inte uppenbart att den tänkta förändringen följer gällande regler

• Förändringen kan ha påverkan på risknivån i Bolaget eller någon av de produkter eller tjänster som Bolaget erbjuder sina kunder

Om något av ovanstående är sant ska processen alltid tillämpas. Vid oklarhet ska Riskfunktionen avgöra om processen ska tillämpas.

Nedanstående är exempel på förändringar som kan påverka Bolaget och som bör genomgå processen för godkännande.

• Större förändringar av organisationen eller verksamheten

• Utbyte av väsentliga IT-system

• Erbjudande av nya tjänster

• Ändring av befintliga processer som anges i Bolagets förteckning över processer av väsentlig betydelse.

Start av processen

Processen för godkännande initieras av respektive ansvarig för de berörda områdena som är aktuella för genomförande av en förändring alternativt introduktion av en ny produkt eller tjänst.

Initiativtagaren ska bedöma om förändringen måste följa processen för godkännande enligt vad som angivits ovan.

Processen börjar med att initiativtagaren fyller i mallen för godkännande av nya produkter med en beskrivning av förändringen. Beskrivningen ska innehålla:

• Bakgrund och syfte med förändringen

• Beskrivning av förändringen inklusive hur den är tänkt att implementeras

• Försäljning och lönsamhet

• Beskrivning av vilka enheter/funktioner som berörs

• Behov av systemstöd och resurser

• Planerat lanseringsdatum Involvera berörda funktioner

Nästa steg i processen är att initiativtagaren kontaktar övriga involverade funktioner för att få deras synpunkter på förslaget till förändring.

Följande parter ska alltid vara involverade i processen för godkännande:

• Initiativtagaren

• Funktionen för regelefterlevnad

• Riskfunktionen

• VD

Förutom dessa ska även de övriga funktioner som berörs av förändringen involveras i processen. Vid bedömningen av vilka funktioner som berörs av förändringen ska hänsyn tas även till outsourcade funktioner.

De involverade parterna ska bland annat ta ställning till följande faktorer i relation till den önskade förändringen och funktionens ansvarsområden:

• Tillgång till personal

• Tillgång till kompetens

• Lämpligheten hos verktyg och processer, t.ex. tillgång till lämpliga IT-system Initiativtagaren för att synpunkterna från respektive part dokumenteras i mallen.

Kontroll av regler

Initiativtagaren ska kontakta Funktionen för regelefterlevnad och Riskfunktionen vilka ska göra en bedömning av om den föreslagna förändringen följer gällande regler. Dessa funktioner ska även göra en bedömning av om det krävs uppdateringar av interna regler med anledning av förändringen.

Initiativtagaren ansvarar för att synpunkterna från Funktionen för regelefterlevnad och Riskfunktionen dokumenteras i mallen.

Analys av risker

Initiativtagaren ska tillsammans med VD och Riskfunktionen göra en bedömning av de risker som förändringen kan medföra. Riskanalysen ska baseras på framkomna synpunkter och ska innefatta förändringar av Bolagets risknivåer inklusive eventuell påverkan på kapital- och likviditetsbehov samt eventuella förändringar av risknivåer i produkter och tjänster ur ett kundperspektiv. Baserat på riskanalysen ska en bedömning göras om existerande stöd- och kontrollfunktioner är tillräckliga för att förstå och övervaka riskerna eller om det finns behov av förändringar.

Initiativtagaren ansvarar för att dokumentera riskanalysen i mallen.

Krav på dokumentation och beslut

Initiativtagaren ska överlämna den ifyllda mallen till VD som ska besluta om förändringen godkänns eller inte samt de överväganden som legat till grund för beslutet.

VD ska vid beslutet fastställa en åtgärdsplan som anger vilken funktion eller organisatorisk enhet som ska ansvara för att hantera de risker som är förenade med förändringen, hur förändringen ska implementeras samt ett planerat datum för när förändringen ska vara implementerad.

Beslutet och de överväganden som gjorts ska dokumenteras i mallen som ska arkiveras.

Uppföljning och kontroll

Efter hand som implementeringen fortskrider ska den ansvarige för åtgärdsplanen återrapportera beslut samt hur processen fortskrider till berörda enheter och initiativtagaren.

Ansvarig för åtgärdsplanen ska vid lansering och implementering åtminstone rapportera till ledningen, Xxxxxxxx funktion för regelefterlevnad och Riskfunktionen.

VD ska löpande följa upp pågående förändringsprojekt för att säkerställa att de dokumenteras i enlighet med vad som angivits ovan samt att projekten implementeras i enlighet med de åtgärdsplaner som tagits fram som en del av beslutet om godkännande. Större avsteg från åtgärdsplanerna ska godkännas av VD.

7. HANTERING AV OPERATIVA RISKER

Av de kategorier av operativa risker som identifierats under punkt 4 ovan konstateras att de väsentliga riskerna för Bolaget är legala risker och personalrisker.

7.1. Legala risker

Typer av legala risker

En betydande legal risk är att ett klagomål från kund rörande ”dålig eller felaktig” rådgivning leder till en långdragen och kostsam rättsprocess samt eventuellt skadestånd. Bolaget försöker att reda ut, rätta till och eventuellt kompensera kunderna vid eventuella felaffärer eller andra klagomål. Om det inte gäller mindre frågor som snabbt och enkelt kan lösas, uppmanas kunden att i skriftlig form vända sig till Bolagets klagomålsansvarige, advokat Xxxxx Xxxxxxxx vid Xxxxxxxxx advokatbyrå.

En ansökan om stämning av Bolaget kan även lämnas till Tingsrätten utan att detta har föregåtts av ett klagomål.

Bolaget kan även hamna i tvister med sina leverantörer för kontraktsbrott av olika slag. Detta kan vara i båda riktningar så att Bolaget kan bli stämt av en leverantör för t ex utebliven betalning eller att Bolaget stämmer en leverantör för brister i leveransen eller skador som har uppstått på grund av brister i leverantörens/uppdragstagarens varor eller tjänster.

Bolaget kan även hamna i tvister med myndigheter eller anställda.

Sannolikheten för att en legal risk som leder till skada för Bolaget inträffar är relativt hög. Över tid är det nästan omöjligt att undgå klagomål. De kan vara berättigade eller oberättigade och leda till rättsprocesser som Bolaget kan förlora oavsett om man har rätt eller fel. Tvister med leverantörer och uppdragstagare kan gälla avtalstolkningar eller skador som en uppdragstagare orsakar Bolaget, såsom mänskliga misstag eller rena bedrägerier.

Tvister med personal kan uppstå i samband med uppsägningar eller att personal upplever att de blivit felaktigt behandlade på något sätt av Xxxxxxx eller andra anställda. När partners slutar kan skilda meningar gälla angående ersättningen för deras partneraktier, etc.

Åtgärder för att undvika riskhändelser samt lindra konsekvenserna av sådana

Bolagets ordförande är advokat liksom dess Compliance Officer. Bolagets extern- respektive internrevisor är PWC och BDO. Flera av Bolagets anställda har erfarenhet från seniora befattningar i andra företag som VD, VVD, COO, CFO, försäljningschef, etc. med stor erfarenhet av legala spörsmål och processer. Bolaget har tecknat en Styrelse och VD ansvarsförsäkring i Arch Insurance Company (Europé) Ltd., genom JTL Risk Solutions AB, med ett högsta ersättningsbelopp på 10 MSEK och en årspremie på 18 KSEK.

Identifiering och mätning samt incidenter

Bolaget bedömer att risken för ett skadestånd överstigande 10 MSEK är synnerligen osannolikt. Risk finns även för att en legal riskhändelse inte omfattas av försäkringen.

En riskhändelse identifieras genom att ett klagomål eskalerar till en rättslig process eller att Bolaget mottar en stämning från en kund, leverantör, myndighet, anställd, eller annan part. Det kan även vara så att Xxxxxxx själv inleder en process.

Riskaptit och limiter

Bolagets riskaptit för legala risker är medelhög. Sannolikheten bedöms till i genomsnitt en större skada per år till en total kostnad av 1 MSEK, dvs100 KSEK per år. Detta innebär att Xxxxxxx är berett på att acceptera advokatkostnader och eventuella skadestånd till högst 100 KSEK per år, vilket är Bolagets risklimit.

7.2. Personalrisker

Bolaget är så pass litet att i princip alla anställda är nyckelpersoner. En stor del av personalen är partners. Rekryteringsprocessen är omfattande med referenser och CV-verifiering samt identifiering av eventuella intressekonflikter. Stor vikt läggs att personer som anställs delar Bolagets högt ställda krav på etik, regelefterlevnad, etc. Alla nyanställda måste lämna utdrag ur belastningsregistret, konkursregistret, näringsförbudsregistret, kronofogdens register, intyg om att inte stå under förvaltare enligt föräldrabalken och sekretessförbindelse. Ett certifikat undertecknas där den anställde förklarar sig ha tagit del av och förstått Bolagets interna regler, riktlinjer och instruktioner. Alla rådgivare skall vara licenserade av SwedSec. Ingen anställd får ansvara för alla led i en process vilket försvårar genomförandet av bedrägerier, den s.k. dualitetsprincipen.

Efter anställning sker en introduktion av nyanställda där stor vikt läggs vid etik och regelfrågor. Vidareutbildning sker fortlöpande. En gång om året anordnas en internutbildning av Harvest Advokatbyrå AB angående compliancefrågor.

All personal måste rapportera egenhandel i finansiella instrument för sig själva och närstående och lyder under enmånadsregeln. Eventuella bisysslor måste godkännas av Bolagets VD.

Personalomsättningen i Bolaget är, och förväntas förbli, extremt låg. Bolaget växer i den takt som bemanningen tillåter och har tillräckligt mycket personal för att ha resurser för back-up till alla befattningar. Om en anställd byter arbetsuppgifter får denne lämna ifrån sig behörighet till system som vederbörande inte längre behöver ha tillträde till.

All personal har privat sjukvårdsförsäkring. Syftet med detta är att de så snart som möjligt ska kunna återgå till arbetet efter sjukdom eller olycksfall.

All personal förbinder sig skriftligen, i anställningsavtalet, att vid anställningens upphörande återlämna all Bolagets egendom. Gällande sekretessavtal medför även betydande förpliktelser även efter anställningens upphörande.

8. RAPPORTERING

Riskfunktionens rapportering av operativa risker ska ske kvartalsvis till företagsledningen och årsvis till styrelsen.

Övrig rapportering av operativa risker ligger i varje medarbetares ansvar och styrs inte av någon särskild rapporteringsordning. Alla medarbetare ska utan dröjsmål rapportera till Riskfunktionen.

Alla incidenter ska rapporteras till Bolagets VD. Om det gäller klagomål, felaffärer eller förseningsavgifter till FI ska de även rapporteras till Bolagets styrelse. Mindre incidenter som dröjsmålsräntor behöver inte rapporteras till styrelsen om de understiger 5 KSEK per tillfälle och 10 KSEK per år. VD informeras alltid.