Pozavarovalnica Sava

Audit Report / Information • May 23, 2022

LETNO POROČILO SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2021

Pripravila	Polonca Jug Mauko
Sprejela	uprava družbe
Soglasje	nadzorni svet
Vrsta dokumenta	poročilo
Služba	notranja revizija
Vrsta zaupnosti	zaupno
Številka poročila	2-2022/POR/PJM
Prejemniki poročila	uprava družbe
	člani nadzornega sveta družbe
	člani revizijske komisije nadzornega
	sveta družbe
	skupščina družbe
Jezikovni različici	slovenščina, angleščina
Datum priprave	25. 3. 2022
Datum sprejetja na seji uprave	29. 3. 2022
Datum sprejetja na seji RK in NS	5. 4. 2022 na RK in 7. 4. 2022 na seji NS

Ljubljana, februar 2021

KAZALO

1	UVOD	3
	1.1 Organizacijska neodvisnost notranje revizije 3
2	OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV,
	UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE	3
3	PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2021	4
4	POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV	6
5	PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI
		12
6	ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI	13
7	PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR	14

1 UVOD

Na podlagi 165. člena Zakona o zavarovalništvu (ZZavar-1), Politike notranje revizije Save Re, d.d. (v nadaljevanju Sava Re), Strategije dela Službe notranje revizije (v nadaljevanju SNR) za obdobje 2020 do 2022 in Letnega načrta dela SNR za leto 2021 je SNR pripravila Letno poročilo o notranjem revidiranju za leto 2021.

Vsebina poročila zajema:

• poročilo o organizacijski neodvisnosti notranje revizije;
• oceno uspešnosti in učinkovitosti delovanja kontrolnih postopkov, upravljanja tveganj in upravljanja Save Re;
• pregled uresničitve letnega načrta dela za leto 2021;
• povzetek pomembnejših ugotovitev izvedenih revizijskih poslov;
• pregled uresničitve priporočil za odpravo pomanjkljivosti in nepravilnosti;
• pregled uresničitve drugih dejavnosti SNR (zaposleni, izobraževanje in usposabljanje);
• povzetek Programa za zagotavljanje in izboljševanje kakovosti notranje revizije.

1.1 Organizacijska neodvisnost notranje revizije

SNR je samostojen organizacijski del, ki je funkcionalno in organizacijsko ločen od drugih organizacijskih delov Save Re. Administrativno poroča upravi Save Re, funkcijsko pa revizijski komisiji in nadzornemu svetu družbe. Tako je zagotovljena samostojnost in organizacijska neodvisnost delovanja SNR.

Sava Re, d.d., v skladu z Zakonom o zavarovalništvu na podlagi pogodb o izločenem poslu od 1. 2. 2018 za nedoločen čas izvaja ključne funkcije notranje revizije družb Zavarovalnica Sava, d.d., in Sava pokojninska družba, d.d. V letu 2019 je Sava Re tudi s Savo Infond, družbo za upravljanje, d.o.o., v skladu z ZISDU-3 sklenila pogodbo o prenosu funkcije notranje revizije, na podlagi katere je s 1. 1. 2020 izvajanje te funkcije v Savi Infond za nedoločen čas preneseno na družbo Sava Re. V januarju 2021 je Sava Re z družbo Življenjska zavarovalnica Vita, d.d., v skladu z Zakonom o zavarovalništvu sklenila pogodbo o izločenem poslu ključne funkcije notranje revizije, na podlagi katere je z 22. 1. 2021 izvajanje te ključne funkcije v Viti za nedoločen čas preneseno na družbo Sava Re.

Direktorica SNR Polonca Jug Mauko je imenovana za nosilko ključne funkcije notranje revizije Save Re, d.d., Zavarovalnice Sava, d.d., in za nosilko ključne funkcije notranje revizije na ravni Zavarovalne skupine Sava.

2 OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV, UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE

Oceno uspešnosti in učinkovitosti delovanja sistema notranjih kontrol in upravljanja tveganj nosilka ključne funkcije notranje revizije dajem za leto 2021 na podlagi opravljenih notranjerevizijskih poslov. Notranje revidiranje je na oceni tveganj zasnovan stalen in celovit nadzor nad poslovanjem družbe z namenom preverjanja in presoje, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja doseganje pomembnih ciljev družbe. Sistem notranjih kontrol terminološko pojmujemo kot celoto, ki zajema procese upravljanja tveganj, kontrolne postopke in upravljanja družbe in skupine ter omogoča uresničevanje pomembnih ciljev družbe. Z opravljenimi notranjerevizijskimi posli smo pokrili vsa ključna tveganja družbe.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja SNR meni, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja DOBRA. Prav tako meni, da je bilo ustrezno upravljanje Save Re in da se ta nenehno izpopolnjuje v želji doseči pomembne cilje poslovanja ter da učinkovito upravlja tveganja, pri čemer je namen Save Re uspešno in gospodarno poslovanje. Po mnenju SNR pa še obstajajo priložnosti za izboljšanje delovanja sistema. Pri opravljanju revizijskih poslov so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in za odpravo katerih je dala priporočila, zato da se kontrolni postopki ter upravljanje družbe in tveganj še izboljšajo. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Nekatere nepravilnosti in pomanjkljivosti so bile do postavljenih rokov že odpravljene. Priporočila, ki so bila dana v zadnjem tromesečju, in priporočila, ki se nanašajo na izboljšavo informacijske tehnologije, pa potrebujejo za izvedbo nekoliko več časa.

Pri rednih notranjerevizijskih poslih je bila pozornost usmerjena tudi na možnost nastanka prevar in na izpostavljenost oziroma morebitno ranljivost IT-podpore poslovanju. Sistem notranjih kontrol na področjih, ki so bila predmet notranjerevizijskih poslov, je uveden in deluje tako, da preprečuje nastanek morebitnih prevar. Pri opravljenih revizijah so bila dana tudi priporočila za izboljšavo informacijskega sistema.

3 PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2021

V letu 2021 je SNR opravljala notranjerevizijske posle in druge dejavnosti na podlagi Letnega načrta dela SNR za leto 2021.

Načrtovanih je bilo 34 notranjerevizijskih poslov:

• 1) 1_R_2021/SRe Revizija integracijskih procedur zunanjih sklepalnih programov ASP.ins;
• 2) 2_R_2021/SRe Revizija TBS TEAM 24, d.o.o.;
• 3) 3_R_2021/SRe Revizija sistema projektnega vodenja;
• 4) 4_R_2021/SRe Revizija aktuarske funkcije;
• 5) 5_R_2021/SRe Revizija procesa evidentiranja škod;
• 6) 6_R_2021/SRe Revizija procesa upravljanja valutnega tveganja;
• 7) 7_R_2021/SRe Revizija procesa implementacije programske podpore SIMCORP v odvisne družbe;
• 8) 8_R_2021/SRe Revizija upravljanja terjatev družbe;
• 9) 9_R_2021/SRe Revizija procesa upravljanja IT COBIT 2019;
• 10) 10_R_2021/SRe Neprekinjeno revidiranje del nadzornega organa SOC (IT);
• 11) 1_SV_2021/SRe Svetovanje pri procesu arhiviranja dokumentacije;
• 12) 2_SV_2021/SRe Svetovalni posel pregleda izločenih poslov družb v skupini sodelovanje s funkcijo skladnosti;
• 13) 3_SV_2021/SRe Svetovalni posel pregleda projektnega vodenja v skupini;
• 14) 4_SV_2021/SRe Revizija projekta MSRP 17;
• 15) 5_SV_2021/SRe Svetovalni posel Projekt implementacije nove programske podpore za proces pozavarovanj;
• 16) 6_SV_2021/SRe Svetovanje pri projektu implementacije upravljanja neprekinjenega poslovanja (BCM) v Zavarovalni skupini Sava;
• 17) 7_SV_2021/SRe Neformalni svetovalni posli;
• 18) 1_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Illyria;

• 20) 3_SOD_2021/SRe Revizija IT-kontrol v ASP.ins škodni modul in poročanje Sava neživotno osiguranje Srbija;
• 21) 4_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Sava osiguranje Črna gora;
• 22) 5_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Sava životno osiguranje Srbija;
• 23) 6_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Sava neživotno osiguranje Srbija;
• 24) 7_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Sava osiguruvanje Severna Makedonja;
• 25) 8_SOD_2021/SRe Revizija procesa upravljanja IT COBIT 2019 Sava penzijsko Severna Makedonija;
• 26) 9_SOD_2021/SRe Revizija naložbenega procesa Sava osiguruvanje Severna Makedonja;
• 27) 10_SOD_2021/SRe Revizija procesa pozavarovanja obračun, pravočasnost in natančnost poročanja – Sava osiguruvanje Severna Makedonja;
• 28) 11_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Sava osiguruvanje Severna Makedonja;
• 29) 12_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Sava penzijsko Severna Makedonija;
• 30) 13_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Sava osiguranje Črna gora;
• 31) 14_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Sava životno osiguranje Srbija;
• 32) 15_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Sava neživotno osiguranje Srbija;
• 33) 16_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Illyria;
• 34) 17_SOD_2021/SRe Sodelovanje Group Audit odvisne družbe Illyria Life.

Med epidemijo nalezljive bolezni COVID-19 v Sloveniji in v obdobju povečanega dela od doma je bila v Savi Re in vseh odvisnih družbah ustanovljena skupina za krizno upravljanje, v katero je vključena tudi notranja revizija.

Izvedli smo torej vse načrtovane notranjerevizijske posle in dodatni notranjerevizijski posel z vidika zakonodajnih zahtev pri uporabi programskega paketa Skladnost programskega paketa Simcorp z zakonodajnimi in regulativnimi zahtevami. Izvedli smo tudi dodatna svetovanja na željo deležnikov: svetovanje pri procesu harmonizacije dokumentacije informacijske tehnologije v ZSS s standardi varovanja informacij in regulatornimi zahtevami, pregled ustreznosti procesa digitalnega podpisovanja – Sava penzisko društvo, a.d., in svetovalni posel primernosti priprave protokola upravljanja SimCorp Dimension.

Skupaj je bilo opravljenih 37 notranjerevizijskih poslov. Zaradi trajajoče epidemije in delnega dela od doma je bila velika večina notranjerevizijskih poslov izvedenih delno na kraju samem in delno na daljavo z uporabo orodja MS Teams.

4 POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV

Notranja revizija je na podlagi presoje tveganj vključevala stalen in celovit nadzor nad poslovanjem družbe zaradi preverjanja in ocenjevanja, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja uresničevanje teh pomembnih ciljev družbe:

• uspešno in učinkovito poslovanje, vključno z doseganjem ciljev poslovne in finančne uspešnosti, ter varovanje sredstev pred izgubo;
• zanesljivo, pravočasno, pregledno notranje in zunanje računovodsko in neračunovodsko poročanje;
• skladnost z zakoni in drugimi predpisi ter notranjimi pravili;
• upravljanje informacijske tehnologije, ki podpira uresničevanje strategije in ciljev družbe;
• ocenjevanje tveganja prevar in način njihovega obravnavanja v družbi.

SNR je tekoče pisno poročala o svojem delu revidiranim osebam, hkrati pa predložila poročila v seznanitev ter ugotovitve in priporočila v sprejetje upravi družbe. Obdobno pa je, na podlagi povratnih informacij odgovornih oseb za izvedbo priporočil, poročala o uresničevanju slednjih upravi, revizijski komisiji in nadzornemu svetu.

Podrobnejši pregled notranjerevizijskih poslov z vsemi ugotovitvami, nepravilnostmi in priporočili je SNR predložila v četrtletnih poročilih upravi, revizijski komisiji in nadzornemu svetu.

SNR ocenjuje primernost in učinkovitost sistema notranjih kontrol v povezavi s tveganji skladno s standardom 2410.A1. V skladu z metodologijo Zavarovalne skupine Sava smo uporabljali to lestvico za oceno sistema notranjih kontrol:

ZELO DOBER – kontrolni sistem revidiranega poslovnega področja/organizacijske enote je v vseh pogledih zelo dober; vzpostavljene so čvrste notranje kontrole; vse ključne kontrole delujejo in pri tem ni odstopanj. Nadzor je optimalen. Tveganje je zelo majhno. Ni ugotovitev z oceno srednjega ali visokega tveganja.

DOBER – kontrolni sistem je na splošno dober; manjše slabosti lahko odpravi vodstvo poslovne funkcije (področja)/organizacijske enote med poslovnim procesom. Vodstvo dobro obvladuje poslovanje, odgovornosti in pooblastila se v praksi izvajajo. Kjer se pojavijo odstopanja, sledijo takojšnji ukrepi in neprestano izpopolnjevanje postopkov. Nadzor se izvaja redno. Tveganje je majhno. 1–2 ugotovitvi z oceno srednjega tveganja, ni ugotovitev visokega tveganja.

PRIMEREN – kombinacija nekaterih pomanjkljivosti v kontrolnem sistemu, ki jih mora vodstvo poslovnega področja/organizacijske enote čim prej odpraviti. Vodstvo se zaveda potrebnosti spremljave in nadzora, postopki in odgovornosti so okvirno opredeljeni. Nadzor se izvaja občasno. Tveganje je srednje. Večina ugotovitev je z oceno srednjega tveganja.

NI PRIMEREN – resne pomanjkljivosti v kontrolnem sistemu, ki vplivajo na slabitev poslovanja in jih mora vodstvo poslovnega področja/organizacijske enote obvezno takoj odpraviti. Nadzor se ne izvaja po formalno zapisanih postopkih in je prepuščen posameznikom. Tveganje je veliko. Obstajajo ugotovitve visokega tveganja.

NEZADOVOLJIV – visoka stopnja hudih pomanjkljivosti (neusklajenost s predpisi, popolno pomanjkanje kontrol), ki zahtevajo celovito reorganizacijo poslovnega področja/organizacijske enote. Nadzor nad poslovanjem se ne izvaja. Tveganje je zelo veliko.

Kljub navedeni lestvici pa lahko, glede na zahtevano strokovnost in etično delovanje preizkušenega notranjega revizorja, del ocene sistema notranjih kontrol ostane v domeni preizkušenega notranjega revizorja.

V nadaljevanju je naveden kratek povzetek ključnih ugotovitev pregledanih področij v Savi Re (povzetka sodelovanja pri notranjih revizijah odvisnih družbah ne navajamo, ker je to zajeto v letnih poročilih notranje revizije odvisnih družb).

Revizija integracijskih procedur zunanjih sklepalnih programov ASP.ins (1_R_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti uvedenih IT-kontrol integracijskih procedur zunanjih sklepalnih programov v družbah Sava osiguranje Črna gora, Sava osiguruvanje Severna Makedonija in Illyria Kosovo za zagotavljanje natančnosti, razpoložljivosti, osveženosti, kakovosti in varnosti uvoženih podatkov. Za izvedbo pregleda smo uporabili Okvir za vodenje in upravljanje informacij in tehnologije COBIT 2019, in sicer področje DDS06 – Managed Business Process Controls. Revizija je zajela integracijske postopke, njihovo izvajanje ter načine zagotavljanja natančnosti, razpoložljivosti, osveženosti, kakovosti in varnosti uvoženih podatkov v prej omenjenih družbah. Na podlagi izvedenih revizijskih postopkov smo integracijskim postopkom dodelili oceno NI PRIMEREN.

V okviru izvedene revizije smo izdali šest priporočil za upravljanje tveganj, od tega tri z visokim tveganjem, dve ssrednjim in eno z nizkim tveganjem. Kot visoka smo ocenili tveganja, katerih posledice ob uresničitvi močno vplivajo na poslovanje in ugled družbe (vdor v sistem, razkritje osebnih in zaupnih podatkov).

Revizija TBS TEAM 24, d.o.o. (2_R_2021/SRe)

Revizija je zajemala pregled in oceno poslovanja odvisne družbe TBS TEAM 24, d.o.o. v času covida-19 v letu 2020, napredovanja projekta prenove informacijskega sistema družbe ter usklajenega izvajanja aktivnosti v skladu z usmeritvami obvladujoče družbe Sava Re glede pravočasnega načrtovanja in poročanja. Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri revidiranih področjih poslovanja kot ZELO DOBER.

Skupno smo izdali dve priložnosti za izboljšavo in tri priporočila za upravljanje tveganj, od tega eno s srednjim in dve z nizkim tveganjem. Priporočila so vezana na preučitev možnosti odprave stroškov za najem nepremičnine, na oceno stroškov predhodnega računovodskega obdobja za zagotovitev izkazovanja stroškov v pravem poslovnem letu ter na preučitev in oceno davčnega tveganja pri poslovnem sodelovanju z dobavitelji storitev.

Revizija sistema projektnega vodenja (3_R_2021/SRe)

Revizija je zajemala pregled in oceno uspešnosti in učinkovitosti projektnega vodenja v družbi ter pregled upravljanja strateških projektov v Zavarovalni skupini Sava. Pri tem smo se osredotočili na primernost postopkov projektnega vodenja strateških projektov v Savi Re, d.d., v 2020 ter na skladnost z dobrimi praksami in okviri vodenja projektov.

Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol na revidiranih področjih poslovanja kot DOBER.

Izdanih je bilo skupno osem priporočil za upravljanje tveganj, od tega eno s srednjim in pet z nizkim tveganjem ter dve priložnosti. Priporočila so se nanašala na to, da se ustrezno določi zahteve glede hrambe projektne dokumentacije, da se pri sodelovanju zunanjih izvajalcev izboljša način poročanja in komunikacije, da se izvajajo redna izobraževanja s področja projektnega vodenja in da se pripravi seznam ključnih kazalnikov, ki bodo v pomoč projektnim vodjem pri spremljanju projektov.

Revizija aktuarske funkcije (4_R_2021/SRe)

Revizija je zajemala pregled in oceno uspešnosti in učinkovitosti vzpostavljene aktuarske funkcije z vidika skladnosti delovanja glede na sprejeto politiko aktuarske funkcije, primernosti modelov za aktuarske izračune, pravilnosti, popolnosti, točnosti in avtorizacijo vhodnih podatkov ter popolnosti in točnost izhodnih podatkov. Revizija je bila izvedena kot zunanje izvajanje in jo je izvedel strokovnjak dr. Janez Komelj. Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri revidiranih področjih poslovanja z ZELO DOBER. Skupno smo izdali tri priporočila za upravljanje tveganj z nizkim tveganjem.

Revizija procesa evidentiranja škod (5_R_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti procesa evidentiranja škod. Na podlagi izvedenih revizijskih postopkov smo ocenili to področje z DOBER, čeprav smo opozorili na tveganja pri poslovanju, saj trenutno vzpostavljeni postopki ne delujejo skladno z internimi pravili predvsem zaradi odsotnosti programskih notranjih kontrol; ker pa se že vzpostavlja nova programska podpora, s katero se bodo nepravilnosti odpravile, v zvezi s tem nismo podali priporočil. Skupno smo izdali tri priporočila za upravljanje tveganj s srednjim tveganjem, nanašajoča se na opredelitev procesov in postopkov, na ureditev pravočasnega vnosa podanih kritij za pozavarovanje v sistem in na to, da naj se v novi programski opremi vzpostavi sistem vodenja škodnih primerov v registru škod s statusi škodnih primerov.

Revizija procesa upravljanja valutnega tveganja (6_R_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti upravljanja valutnega tveganja ter je bila osredotočena na primernost tega procesa (pretok informacij, operativne in vodstvene kontrole v procesu in podprocesih, sledljivost in ponovljivost izračunov, obstoj revizijskih sledi o opravljenih kontrolah, obstoj internih aktov in njihova skladnost z dobro prakso ter ravnanje v skladu s temi akti). Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

V okviru revizijskega pregleda smo izdali šest priporočil za upravljanje tveganj, od tega tri s srednjim tveganjem in tri z nizkim tveganjem. Priporočila so se nanašala na formalizacijo datoteke Excel, v kateri se izvaja ocena valutne bilance, na pisno pojasnitev pri oceni valutne bilance, na pripravo internega akta z opredelitvijo meril pojasnjevanja pomembnih razlik med oceno in dejansko valutno bilanco, na uvedbo rednega letnega pregleda Pravilnika valutnega usklajevanja družbe ter na to, da se vzpostavi formalni način potrjevanja dostavljenih podatkov, tako da bo zagotovljena časovna in vsebinska revizijska sled.

Revizija procesa implementacije programske podpore SIMCORP v odvisne druž be (7_R_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti uvajanja programske podpore SIMCORP v odvisne družbe Save Re ter primernosti načrtovanja in izvedbe teh aktivnosti (časovni in finančni vidik, razpoložljivost človeških virov ter podpora matične družbe). Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri revidiranih področjih poslovanja kot DOBER.

V okviru revizijskega pregleda smo izdali štiri priporočila za upravljanje tveganj, od tega tri s srednjim tveganjem in eno kot priložnost. Priporočila so se nanašala na pogodbena razmerja s hčerinskimi družbami glede uporabe programske opreme SimCorp, na potrditev protokola upravljanja SimCorp Dimension ter na model obračunavanja stroškov za uporabo SimCorp v hčerinskih družbah.

Revizija upravljanja terjatev družbe (8_R_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti obvladovanja tveganj pri upravljanju terjatev družbe ter preveritev ustreznosti internih aktov s področja upravljanja terjatev. Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot PRIMEREN.

V okviru izvedene revizije smo izdali sedem priporočil za upravljanje tveganj, od tega tri s srednjim in štiri z nizkim tveganjem. Priporočila so vezana na posodobitev internih aktov za področje upravljanja terjatev družbe, na ureditev arhivov podatkov v povezavi z obdelavo in izterjavo terjatev pozavarovanja, na redno spremljanje in preverjanje možnosti izterjave starejših terjatev, na okrepitev preverjanja kontov terjatev in nadgradnjo poročanja o terjatvah iz pozavarovanja.

Revizija procesa upravljanja IT – COBIT 2019 (9_R_2021/SRe)

Revizija je zajemala pregled in oceno skladnosti procesa upravljanja IT ter skladnost procesa z regulativo in zakonskimi zahtevami na ravni Zavarovalne skupine Sava. Ob tem smo izvedli tudi pregled in ocena skladnosti procesa po odvisnih družbah ter pregled dobrih praks. Pri tem smo se osredotočili tudi na primernost postopkov Službe za informacijsko tehnologijo in Sektorja informacijske tehnologije Zavarovalnice Sava, d.d., saj je področje informacijske tehnologije Save Re skladno s pogodbo v velikem obsegu dano v upravljanje Zavarovalnici Sava, kar omogoča, da se opravljajo kompleksne naloge z ustreznim osebjem, ki pozna dobre prakse in okvire upravljanja informacijskih sistemov. Osnova za pregled je okvir upravljanja informacijske tehnologije COBIT 2019.

Izvedla se je primerjava ocen iz leta 2020 in 2021, pri čemer se je pokazalo izboljšanje na področjih upravljanja zahtevkov, zmogljivosti IT-sistema, IT-sprememb, projektov, varnosti, incidentov in ITpodpore procesom ter spremljanja uspešnosti IT (kontrole standarda COBIT 2019 BAI02, BAI04, BAI07, BAI11, DSS02, DSS05, DSS06 in MEA01). Pri izvajanju kontrol COBIT 2019 ni bilo pri nobeni prepoznano poslabšanje.

Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot PRIMEREN.

Izdanih je bilo skupno sedem priporočil za upravljanje tveganj, od tega pet s srednjim in dve z nizkim tveganjem. Priporočila se nanašajo predvsem na organizacijske ukrepe v Službi za informacijsko tehnologijo in kazalnike uspešnosti.

Neprekinjeno revidiranje – del nadzornega organa SOC (IT) (10_R_2021/SRe)

Revizija je zajemala neprekinjeno/redno spremljanje izvajanja storitve Security operations center (SOC) v Savi Re oziroma Zavarovalni skupini Sava. Uvedba SOC neposredno zadeva in povečuje raven zrelosti za cilj upravljanja DSS05 – Managed Security Services v COBIT 2019. To storitev je uvajal Sektor za informacijsko tehnologijo Zavarovalnice Sava, formalno pa je bila končana v juliju 2021. Projekt smo spremljali po projektnem portalu B2Secure zunanjega izvajalca. SOC deluje stabilno, načrtujejo pa se še dodatne izboljšave in integracije.

Revizija je zajemala tudi pregled usklajenosti dokumentacije Sektorja informacijske tehnologije z zahtevami standarda ISO/IEC 27001:2013 po nadzoru informacijske infrastrukture, s čimer družba zagotavlja skladnost z zakonodajnimi in internimi zahtevami ter dobrimi praksami sistema upravljanja varovanja informacij (SUVI). SIT je s SNR izvedel t. i. analizo razkoraka in dopolnitve dokumentacije varnostne politike SOC, pri čemer se načrtuje usklajevanje politike po vseh družbah ZSS.

V okviru neprekinjenega revidiranja IT smo spremljali tudi izvedbo penetracijskih testov.

Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri revidiranem področju poslovanja kot DOBER.

Revizija projekta MSRP 17 (4_SV_2021/SRe)

Revizija je zajemala pregled in oceno ustreznosti uvajanja MSRP 17 ter znotraj tega primernosti načrtovanih razvojnih aktivnosti glede na zahteve MSRP 17 (časovni vidik, finančni vidik, razpoložljivost človeških virov, zakonodajni vidik) ter pregled sprememb po zadnji reviziji. V letnem načrtu je bil pregled opredeljen kot svetovalni posel – Projekt MSRP 17, kar smo na podlagi posvetovanja z revidiranci naknadno spremenili v posel dajanja zagotovil in delno v follow up revizije 10_R_2020/SRe Revizija projekta MSRP 17, na podlagi katere sta bili izdani dve priporočili – obe sta že izvedeni.

Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri pregledanem procesu revidiranega področja kot DOBER.

Izdanista bili skupaj dve priporočiliza upravljanje tveganj, eno z nizkim tveganjem in eno kot priložnost. Priporočilo je vezano na pregled in ustrezno ureditev zahtevkov RedMine.

Skladnost programskega paketa Simcorp z zakonodajnimi in regulativnimi zahtevami (1_IR_2021/SRe)

Dodatni notranjerevizijski posel se je izvedel z vidika zakonodajnih zahtev pri uporabi programskega paketa Skladnost programskega paketa SimCorp z zakonodajnimi in regulativnimi zahtevami.

Revizija je zajemala preveritev skladnosti programskega paketa SimCorp Dimensions (SCD) z veljavnimi predpisi s področja vodenja poslovnih knjig in sestavljanja poslovnih poročil, vključno s procesi razvoja, upravljanja sprememb in funkcionalnosti, ki zagotavljajo ustrezno zaščito informacij. Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

Menimo, da sta razvoj in upravljanje sprememb revidirane programske opreme skladna s standardi in priporočili mednarodne organizacije revizorjev informacijskih sistemov (ISACA), pa tudi s standardoma ISO/IEC 27001 in ISO/IEC 27002 ter poznano dobro prakso varovanja informacij. Menimo še, da je revidirana računalniška programska oprema, namenjena podpori vodenja poslovnih knjig in sestavljanju poslovnih poročil investicijskega sklada in vzajemnega pokojninskega sklada, usklajena z določbami ZISDU-3 in podzakonskih predpisov ter da so funkcionalnosti programske opreme skladne z določili Uredbe o varstvu osebnih podatkov (GDPR) in z veljavnim ZVOP.

Izdali smo priporočilo za upravljanje tveganj glede izvajanja postopkov upravljanja privilegiranih uporabnikov in njihovih pravic s srednjim tveganjem.

Formalni svetovalni posel – svetovanje pri procesu arhiviranja dokumentacije (1_SV_2021/SRe)

Svetovalni posel je zajemal pregled vzpostavljenega procesa arhiviranja dokumentacije družbe in pripravo predloga za izboljšave tega arhiviranja.

Izdana so bila skupno štiri priporočila za upravljanje tveganj, od tega eno s srednjim, eno z nizkim tveganjem in dve kot priložnosti. Priporočili se nanašata na pripravo notranjih pravil arhiviranja in na pregled aplikacije Register pogodb. Priložnosti pa se nanašata na sestavo razvojne ekipe za vpeljavo dokumentnega sistemov v družbi ter na posredovanje opozorila vsebinskim skrbnikom računov glede prilaganja pogodb k računom do vzpostavitve programske podpore.

Formalni svetovalni posel – svetovalni posel pregleda izločenih poslov družb v skupini (2_SV_2021/SRe)

Svetovalni posel je zajemal pregled skladnosti vzpostavljenega procesa izločenih poslov družb v skupini in opredelitev dobre prakse izločenih poslov v Zavarovalni skupini Sava.

Izdana so bila skupno štiri priporočila za upravljanje tveganj, vsa s srednjim tveganjem. Dve priporočili sta krovni in se nanašata na posodobitev internih aktov izločenih poslov, na vzpostavitev Registra izločenih poslov v odvisnih družbah in na pomoč družbam pri posodobitvi/vzpostavitvi internih aktov in Registra izločenih poslov s strani obvladujoče družbe. Dve priporočili pa se nanašata na družbo, in sicer sta vezani na poročanje odvisnih družb obvladujoči družbi in na vzpostavitev celovitega Registra izločenih poslov.

Formalni svetovalni posel – svetovalni posel pregleda projektnega vodenja v skupini (3_SV_2021/SRe)

Svetovalni posel je zajemal pregled uspešnosti in učinkovitosti projektnega vodenja ter opredelitev dobre prakse projektnega vodenja v Zavarovalni skupini Sava. Pri pregledu smo se osredotočili na primernost postopkov projektnega vodenja skladno z obstoječimi zahtevami pravilnikov oziroma praks, ki obstajajo v družbah skupine v letih 2020 in 2021, ter na skladnost z dobrimi praksami in okviri vodenja projektov. Prav tako se je preverjala seznanjenost z navodili projektnega vodenja, ki do družb skupine prihajajo iz Sava Re, d.d. Pregled je bil izveden s pomočjo notranjih revizorjev po posameznih družbah, ki so posredovali informacije o projektnem vodenju. V skupini smo preverili procese vzdrževanja standardnega pristopa projektnega vodenja, zagona projekta, upravljanja sodelovanja zainteresiranih strani, razvoja in vzdrževanja projektnega načrta, upravljanja kakovosti in tveganj pri projektu, upravljanja virov in zaključevanja projekta za tiste projekte, ki so se vodili v posameznih družbah skupine med izvajanjem svetovalnega posla.

Izdanih je bilo skupno devet priporočil za upravljanje tveganj, od tega sedem s srednjim tveganjem in dve kot priložnosti. Priporočila so bila podana predvsem s tega vidika, da je smiselno še izboljšati posredovanje informacij/komunikacijo o zahtevah projektnega vodenja do vseh družb skupine in povratnih informacij o izvajanju projektov s strani odgovornih oseb družb do nosilca poslovne linije za projekte.

Formalni svetovalni posel – svetovalni posel – Projekt implementacije nove programske podpore za proces pozavarovanja (5_SV_2021/SRe)

Svetovalni posel je zajemal pregled in oceno ustreznosti procesa načrtovanja in izvajanja projekta, ustreznosti načrtovanja uvedbe izbrane rešitve (časovni in finančni vidik, človeški viri), usklajenosti načrtovanih funkcionalnosti nove programske rešitve s pričakovanji/zahtevami naročnika in upoštevanja priporočil SNR s področja pozavarovanja pri opredelitvi načrtovanih funkcionalnosti.

Sestava projektnih skupin je ustrezna in pokriva vse zainteresirane strani. Tveganja pri projektu so primerno obravnavana, predvideni so možni ukrepi za zmanjšanje oziroma odpravo tveganj, določene so odgovorne osebe za izvedbo ukrepov in roki. Stanje projekta CORE ERP spremlja projektno vodstvo oziroma širša delovna skupina na rednih sestankih.

Za obstoječe stanje nismo izdali priporočil, se je pa v preostali tretji fazi projekta CORE_ERP treba osredotočiti predvsem na tveganja, povezana z razpoložljivostjo človeških virov na strani družbe, ki jih je vodstvo projekta ustrezno umestilo med tveganja za projekt, navedena v projektnem elaboratu, saj neposredno vplivajo na izvajanje projektnih aktivnosti v skladu s terminskim načrtom.

Formalni svetovalni posel – svetovanje pri projektu implementacije upravljanja neprekinjenega poslovanja (BCM) v Zavarovalni skupini Sava (6_SV_2021/SRe)

Svetovalni posel je pri uvajanju upravljanja neprekinjenega poslovanja (BCP) zajemal uskladitev z dobrimi praksami oziroma zahtevami standarda ISO 22301:2019 – s tem se zagotavlja skladnost z zakonodajnimi in internimi zahtevami ter dobrimi praksami sistema upravljanja neprekinjenega poslovanja (SUNP).

Neformalni svetovalni posli (7_SV_2021/SRe)

Izvedeni so bili pregledi osnutkov nekaterih internih aktov in pogodb ter izdana sprotna priporočila za izboljšavo poslovanja oz. delovanja notranjih kontrol in za sodelovanje v projektnih skupinah.

Formalni svetovalni posel – svetovanje pri procesu harmonizacije dokumentacije informacijske tehnologije v ZSS s standardi varovanja informacij in regulatornimi zahtevami (8_SV_2021/SRe)

Svetovalni posel je zajemal svetovanje pri procesu harmonizacije dokumentacije Sektorja informacijske tehnologije z ISO-standardi s področja IT, zato da je vsak dokument varnostne politike usklajen z zahtevami standarda ISO/IEC 27001:2013 – s tem se zagotavlja skladnost z zakonodajnimi in internimi zahtevami ter dobrimi praksami sistema upravljanja varovanja informacij (SUVI). Izvajala se je t. i. analiza razkoraka in dopolnitve dokumentacije varnostnih politik zaradi izboljšanja vzpostavljene varnostne kontrole in upravljanja podatkov in informacijske infrastrukture.

Formalni svetovalni posel – Pregled ustreznosti procesa digitalnega podpisovanja – Sava penzisko društvo, a.d. (9_SV_2021/SRe)

Svetovalni posel je zajemal podajo mnenja o ustreznosti procesa in postopkov podpisovanja na daljavo družbe Sava penzisko društvo, a.d. Podrobnejši cilji so bili ugotoviti ali so postopki podpisovanja na daljavo skladne z zakonodajo, ali so postopki podpisovanja na daljavo primerno varni in ali bi v primeru dogodka, ki bi povzročil zlorabo sistema, lahko prišlo do zlorabe podpisovanja na daljavo in kakšne bi bile posledica.

Formalni svetovalni posel – Svetovalni posel primernosti priprave protokola upravljanja SimCorp Dimension (10_SV_2021/SRe)

Svetovalni posel je zajemal izdajo mnenja o ustreznosti priprave protokola upravljanja SimCorp Dimension na podlagi opravljene izredne revizije 1_IR_2021/SRe Skladnost programskega paketa SimCorp z zakonodajnimi in regulativnimi zahtevami. V pregled nam je bil predložen dokument Protokol upravljanja informacijskega okolja SimCorp Dimension. Podrobnejši cilji so bili ugotoviti, ali je ta protokol s stališča upravljanja IT-sistema/storitve ustrezen, ali je zadosten kot dogovor o ravni storitve (SLA) za centralizirano zagotavljanje storitev preostalim družbam v skupini in ali je pripravljen kot predpisani okvir za tiste, ki v Savi Re, d.d., in Zavarovalnici Sava, d.d., upravljajo SimCorp Dimension.

5 PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI

SNR obdobno poroča o stanju izvedbe priporočil oziroma predlogov, danih na podlagi ugotovljenih nepravilnosti ali pomanjkljivosti. Med 1. 1. in 31. 12. 2021 smo spremljali 118 priporočil, od katerih se jih 105 nanaša na Savo Re, 13 pa na odvisne družbe, v katerih so bile opravljene revizije. Na podlagi opravljenih notranjerevizijskih pregledov smo v letu 2021 predlagali 71 priporočil.

V družbi Sava Re je od 105 priporočil uresničenih 54 priporočil (od tega 10 priložnosti), 48 priporočilom pa se še ni iztekel rok izvedbe. Trem priporočilom je bil ta rok podaljšan v leto 2022. V odvisnih družbah je uresničenih vseh 13 priporočil (od tega dve priložnosti).

Delež uresničenih zapadlih priporočil na ravni Zavarovalne skupine Sava na dan 31. 12. 2021 je bil 100 odstoten. Za njihovo spremljavo je bilo v letu 2021 porabljenih 7,75 revizor dni.

6 ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI

Kadrovska struktura SNR je v letu 2021 obsegala 10 zaposlenih. Od teh jih ima 6 pridobljen naziv preizkušeni notranji revizor, dva pa sta preizkušena revizorja informacijskih sistemov. Zaposleni imajo tudi licence: CISA, CRISC, CISM, CSX, vodilni presojevalec ISO 9001, ISO 22301, ISO/IEC 27001, 27018, ISO/IEC 20000, PCI DSS ASV, PCI DSS QSA, EIDAS, NPK-varnostni manager, preizkušeni računovodja javnega sektorja, preizkušeni državni notranji revizor, notranji presojevalec ISO 9001, ISO 14001, ISO 18001, ISO 45000 in IIA Quality Assessment.

Menim, da število in struktura oseb v SNR praviloma omogoča ustrezno izpolnitev načrtovanih dejavnosti, če ni daljših nenačrtovanih odsotnosti in/ali povečanega nenačrtovanega obsega dela.

Zaposleni v SNR smo se v letu 2021 udeležili izobraževanj z različnih področij. Poleg izobraževanj v organizaciji Slovenskega inštituta za revizijo, ISACA, IIA Slovenija in Srbija, mednarodne konference THEIIA Scaling New Heights v Singapurju, notranjih internih izobraževanj s področja ESG, skladnosti in notranje revizije ter mednarodnih WEB-seminarjev redno spremljamo tudi aktualne članke z notranjerevizijskega, (po)zavarovalniškega, računovodskega, finančnega, davčnega in trajnostnega področja. Prav tako je bila uspešno izvedena delavnica notranjih revizorjev Zavarovalne skupine Sava, na kateri smo predstavili metodologijo celovitega mnenja družbe in novosti v poročanju glede programske podpore celovitemu procesu notranjega revidiranja (izvedba po MS Teams).

V letu 2021 je SNR pripravila Letni načrt dela SNR za leto 2022, 4 četrtletna poročila o notranjem revidiranju za obdobja oktober–december 2020, januar–marec 2021, april–junij 2021 in julij– september 2021 ter letno poročilo za leto 2020. Pregledali smo tudi strategijo dela Službe notranje revizije Save Re za obdobje 2020–2022, ki je še vedno ustrezna, zato sprememba ni bila potrebna.

Direktorica SNR je sodelovala na sejah uprave, revizijske komisije in nadzornega sveta, sejah odbora za upravljanje tveganj in na kolegijih družbe. Poslovanje se je spremljalo tudi s pregledom gradiva sej uprave, gradiva odbora za upravljanje tveganj in gradiva kolegijev družbe. V druge dejavnosti je vključeno tudi vodenje službe.

SNR je sodelovala pri rednih četrtletnih ocenah tveganj na ravni Zavarovalne skupine Sava in družbe Sava Re, pripravila pa je tudi notranjerevizijski prispevek k poročanju SFCR in RSR. Prav tako je sodelovala pri načrtovanju za leto 2022 v delu, ki se nanaša na SNR, ter pri pripravi letnega poročila Zavarovalne skupine Sava v delu, ki se nanaša na SNR.

Sodelovanje z zunanjim revizorjem je bilo povezano z usklajevanjem dela zunanjih revizorjev in spremljanjem ugotovitev po predhodni in zaključni reviziji ter z dejavno udeležbo na skupnih sestankih.

Z razvojem SNR so se v 2021 še izpopolnile aktivnosti v povezavi z izvajanjem programske podpore celovitemu procesu notranjega revidiranja tudi na ravni Zavarovalne skupine Sava, hkrati pa se je dopolnila metodologija za pripravo celovitega mnenja družbe in skupine. Pripravili smo tudi idejno zasnovo agilnega revidiranja v povezavi z neprekinjenim revidiranjem, ki smo ga že izvajali v 2021. V letu 2021 je bila uvedena notranja revizija skupine (Group Internal Audit) v vseh družbah Zavarovalne skupine Sava.

SNR je dajala strokovno pomoč notranjim revizorjem odvisnih družb pri metodologiji, pri izpopolnjevanju delovnih programov za posamezne notranjerevizijske posle, pri izvajanju programske podpore celovitemu procesu notranjega revidiranja in pri uvajanju novih sodelavcev v odvisnih družbah. Minimalno mesečno so se sestajali vsi notranji revizorji v skupini, dejavno pa je bilo tudi sodelovanje med nosilci vseh ključnih funkcij družbe in skupine.

7 PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR

Skladno z zahtevami standardov je SNR opravila presojo kakovosti svojega delovanja. Presoja se izvaja na podlagi Programa za zagotavljanje in izboljšanje kakovosti, ki zajema vse vidike delovanja SNR. O izidih tega programa direktor SNR poroča upravi in revizijski komisiji nadzornega sveta.

V letu 2019 je zunanjo presojo kakovosti notranje revizije v družbi Sava Re, d.d., izvedla družba Deloitte revizija, d.o.o., pri čemer je sodelovala revizijska ekipa: Barbara Žibert Kralj, partnerica, pooblaščena revizorka, odgovorna za kontrolo kakovosti opravljenega dela, Katarina Kadunc, preizkušena notranja revizorka, pooblaščena revizorka, FCC, in Urban Goršič, CIA, CFE, kot zunanji presojevalec. Na podlagi izvedenih postopkov pri zunanji ocenitvi delovanja notranje revizije v družbi Sava Re, d.d., je zunanja presoja potrdila delovanje v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjega revizorja in Kodeksom notranjerevizijskih načel. Deloittov model zrelosti notranje revizije nakazuje notranjerevizijsko stopnjo družbe Sava Re, d.d., v večini lastnosti kot zgornjo stopnjo napredne ravni ali kot vodilno prakso.

Skladno s standardi je SNR za leto 2021 opravila redno letno samoocenitev delovanja. Izidi so pokazali, da je delovanje SNR skladno z opredelitvijo notranjega revidiranja, standardi in kodeksom etike. Pri posameznih podstandardih, pri katerih pa delovanje še ni popolnoma skladno, je SNR pripravila akcijski načrt za izboljšavo in ga poskuša upoštevati pri sprotnem delovanju. Program zagotavljanja in izboljševanja kakovosti delovanja SNR smo skladno s smernicami notranjega revidiranja dopolnili z izjavami o skladnosti delovanja notranjega revizorja s standardi in kodeksom etike ter o razkritju in izogibanju nasprotja interesov.

V začetku leta 2022 smo upravi, članom revizijske komisije nadzornega sveta in članom nadzornega sveta poslali vprašalnik o zadovoljstvu z notranjo revizijo (za model zrelosti notranje revizije). Povprečje vseh ocen glede na vrnjene vprašalnike je 3,7 od najvišje ocene 4. Uprava vidi notranjo revizijo kot pomemben člen pri obvladovanju tveganj v družbi in meni, da je pomemben tudi vpliv notranje revizije v družbi.

Metodologijo dela smo še izboljševali, predvsem z vidika vzpostavitve dajanja celovitega mnenja in nadaljnjega razvoja notranjerevizijskega procesa v aplikaciji Pentana. Pripravili smo tudi idejno zasnovo agilnega revidiranja v povezavi z neprekinjenim revidiranjem, ki smo ga v 2021 že izvajali. Prav tako smo v letu 2021 pregledali metodologijo notranje revizije (Priročnik notranje revizije) na ravni družbe Sava Re in na ravni metodologij notranje revizije družb v Zavarovalni skupini Sava.

V marcu 2022 smo izdelali in poslali revizijski komisiji Program zagotavljanja in izboljševanja kakovosti delovanja notranjerevizijske dejavnosti v Savi Re, d.d., s samooceno delovanja za leto 2021. Po seznamu za preverjanje notranjerevizijske neodvisnosti nismo pri nobeni reviziji ugotovili, da bi bila naša neodvisnost kršena ali ovirana. SNR je v letnem načrtu dela predvidela tudi merjenje uspešnosti delovanja notranje revizije. Hkrati spremlja uresničevanje priporočil, ki jih je predlagala upravi. V letu 2021 so bila vsa predlagana priporočila sprejeta s sklepi uprave in predložena v izvajanje odgovornim osebam.

Kot direktorica SNR menim, da je bilo delovanje SNR v letu 2021 skladno s standardi in da smo letni načrt dela izvedli zelo uspešno.

Direktorica SNR in nosilka funkcije notranje revizije

Polonca Jug Mauko

Priloga 1: Slovar

Kratica	Pomen
ASP.ins	Aplikacija za podporo zavarovalnim procesom v hčerinskih družbah Save Re
CFE	Certified Fraud Examiner
CIA	Certified Internal Auditor
CISA	Certified Information System Auditor, certificirani revizor informacijskih sistemov (nadgrajeno pri Slovenskem inštitutu za revizijo – certifikat PRIS – preizkušeni revizor informacijskih sistemov)
CISM	Certified Information Security Manager, certificirani upravljavec informacijske varnosti (s tem znanjem se postane t. i. CISO oziroma vodja informacijske varnosti)
COBIT 2019	Okvir za vodenje in upravljanje informacij in tehnologije
CORE ERP/sistemi	Programska rešitev za ključni poslovni proces družbe
CRISC	Certified in Risk and Information Systems Control.
EIDAS	UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 999/93/ES
EU	Evropska unija
IIA	The Institute of Internal Auditors
ISACA Slovenija	Slovensko društvo za nadzor in preverjanje informacijskih sistemov
ISO 14001	Mednarodni standard za sisteme ravnanja z okoljem, ki zajema obvladovanje okoljskih vidikov proizvodne ali storitvene dejavnosti (Environmental management system, sistem upravljanja okolja)
ISO 22301	Sistem neprekinjenega poslovanja (Business continuity management system)
ISO 45000	Sistem vodenja varnosti in zdravja pri delu (Occupational health and safety management system)
ISO 9001	Sistem vodenja kakovosti (Quality management system)
ISO/IEC 20000	Sistem upravljanja storitev IT (Service management system)
ISO/IEC 27001, 27018	Sistem varovanja informacij, sistem varovanja podatkov v javnih oblakih (Information security management systems, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
IT	Informacijska tehnologija
	Microsoft Teams – aplikacija Microsofta za sporazumevanje (sestanki, klici, videoklici, sporočila, deljenje zaslona
MS Teams	ipd.)
MSRP/IFRS	Mednarodni standardi računovodskega poročanja (International Financial Reporting Standards)
NR	Notranja revizija
NS	Nadzorni svet
P2P	Izobraževanja peer to peer znotraj Save Re
PCI DSS ASV	Preverjanje ranljivosti informacijskih sistemov po standardu PCI DSS (Payment Card Industry Data Security Standard Automatic Scanning Vendor)
PCI DSS QSA	Preverjeni revizor varovanja informacij po standardu PCI DSS (Payment Card Industry Data Security Standard Qualified Security Auditor)
PJM	Polonca Jug Mauko
POR	Poročilo
Q4	Oznaka za četrtletje – Q4 pomeni četrto četrtletje
RK	Revizijska komisija
SIMCORP	Programska podpora za integrirani sistem upravljanja naložb, boljše naložbene odločitve in pregled nad celotnim poslovanjem v enem sistemu – tudi SimCorp
SNR	Služba notranje revizije
SOC	Security operations center
x_F_201x/družba	Oznaka revizije – follow up – ponovna revizija
x_R_201x/družba	Oznaka revizije – redna revizija
x_SOD_201x/družba	Oznaka revizije – svetovanje/sodelovanje pri reviziji v odvisni družbi
x_SV_201x/družba	Oznaka revizije – svetovalni posel
ZISDU-3	Zakon o investicijskih skladih in družbah za upravljanje
ZZavar-1	Zakon o zavarovalništvu
Družbe Zavarovalne skupine Sava
SRe	Sava Re
ZS	Zavarovalnica Sava
SPD	Sava pokojninska družba
SIn	Sava Infond
SPDMKD	Sava penzisko društvo, Severna Makedonija
SNOSr	Sava neživotno osiguranje Beograd
SŽOSr	Sava životno osiguranje Beograd
SOMKD	Sava osiguruvanje Skopje, Severna Makedonija
SOMNE	Sava osiguranje Podgorica, Črna gora
Illy	Illyria Priština
ILife	Illyria Life Priština
TBS	TBS TEAM 24 d.o.o.
Vita	Vita, življenjska zavarovalnica, d.d.

MNENJE NADZORNEGA SVETA K LETNEMU POROČILU SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2021

V letu 2021 je Služba notranje revizije Save Re (v nadaljevanju SNR) opravljala revizijske posle na področjih, opredeljenih v Letnem načrtu dela SNR za leto 2021.

Revizijski cilji, ki jih je SNR izpolnjevala pri svojem delu, so bili usmerjeni k preverjanju ustreznosti in učinkovitosti postopkov upravljanja tveganj ter uspešnosti in učinkovitosti delovanja kontrolnih postopkov na pomembnejših odsekih poslovanja in upravljanja pozavarovalnice. SNR je preverjala primernost notranjih kontrol, ki preprečujejo verjetnost nastanka prevar, in morebitno ranljivost informacijske podpore poslovanju.

V letu 2021 je bilo izvedenih 37 notranjerevizijskih poslov v družbi Sava Re in odvisnih družbah, pri čemer je SNR sodelovala pri revizijah v več družbah in na podlagi opravljenih poslov predlagala 71 priporočil. Nadzorni svet ugotavlja, da je SNR delovala skladno z usmeritvami nadzornega sveta in uprave družbe ter s svojimi priporočili pomembno prispevala k obvladovanju tveganj v delovanju Save Re in skupine.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja SNR meni, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja dobra. Meni tudi, da je bilo upravljanje Save Re ustrezno in da se še nenehno izboljšuje z namenom doseganja pomembnih ciljev poslovanja ter da družba uspešno upravlja tveganja, pri čemer želi zagotoviti uspešno in gospodarno poslovanje. Po mnenju SNR pa še obstajajo priložnosti za izpopolnitev delovanja sistema notranjih kontrol. Pri opravljenih revizijskih poslih so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in h katerim je dala priporočila za odpravo, zato da se kontrolni postopki ter upravljanje družbe in tveganj izboljšajo. Uprava družbe se zaveda možnih vplivov ugotovljenih kršitev, nepravilnosti in pomanjkljivosti na doseganje ključnih ciljev družbe, zato sprejema ustrezne ukrepe oziroma si prizadeva, da bi te kršitve, nepravilnosti in pomanjkljivosti odpravila. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Uspešnost in učinkovitost delovanja SNR so člani nadzornega sveta spremljali v četrtletnih poročilih in letnem poročilu o delu SNR. Seznanjeni so bili s povzetki opravljene notranje presoje delovanja SNR. Rezultati te presoje so pokazali, da je delovanje SNR v vseh pomembnih pogledih skladno z zakonodajo in Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.

Nadzorni svet na podlagi navedenega daje pozitivno mnenje k letnemu poročilu SNR o notranjem revidiranju za leto 2021.

V Ljubljani, 7. 4. 2022

Nadzorni svet Save Re, d.d. predsednik Davor Ivan Gjivoje jr.