LETNO POROČILO SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2022

Pripravila	Polonca Jug Mauko
Sprejela	uprava družbe
Soglasje	nadzorni svet
Vrsta dokumenta	poročilo
Služba	notranja revizija
Vrsta zaupnosti	zaupno
Številka poročila	6-2023/POR/PJM
Prejemniki poročila	uprava družbe
	člani nadzornega sveta družbe
	člani revizijske komisije nadzornega
	sveta družbe
	skupščina družbe
	nosilci ključnih funkcij in DPO
Jezikovni različici	slovenščina, angleščina
Datum priprave	10.3.2023
Datum pošiljanja upravi, RK in NS	13.3.2023
Datum sprejetja na seji uprave	14.3.2023
Datum sprejetja na seji RK in NS	21.3.2023 na seji RK in 22.3.2023 na
	seji NS

Ljubljana, marec 2023

KAZALO

1	UVOD	3
	1.1 Organizacijska neodvisnost notranje revizije 3
2	OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV,
	UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE	3
3	PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2022	4
4	POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV	6
5	PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN
	NEPRAVILNOSTI	10
6	ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI	11
7	PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR	12

1 UVOD

Na podlagi 165. člena Zakona o zavarovalništvu (ZZavar-1), Politike notranje revizije Save Re, d.d. (v nadaljevanju Sava Re), Strategije dela Službe notranje revizije (v nadaljevanju SNR) za obdobje 2020 do 2022 in Letnega načrta dela SNR za leto 2022 je SNR pripravila Letno poročilo o notranjem revidiranju za leto 2022.

Vsebina poročila zajema:

poročilo o organizacijski neodvisnosti notranje revizije;
oceno uspešnosti in učinkovitosti delovanja kontrolnih postopkov, upravljanja tveganj in upravljanja Save Re;
pregled uresničitve letnega načrta dela za leto 2022;
povzetek pomembnejših ugotovitev izvedenih revizijskih poslov;
pregled uresničitve priporočil za odpravo pomanjkljivosti in nepravilnosti;
pregled uresničitve drugih dejavnosti SNR (zaposleni, izobraževanje in usposabljanje);
povzetek Programa za zagotavljanje in izboljševanje kakovosti notranje revizije.

1.1 Organizacijska neodvisnost notranje revizije

SNR je samostojen organizacijski del, ki je funkcionalno in organizacijsko ločen od drugih organizacijskih delov Save Re. Administrativno poroča upravi Save Re, funkcijsko pa revizijski komisiji in nadzornemu svetu družbe. Tako je zagotovljena samostojnost in organizacijska neodvisnost delovanja SNR.

Sava Re, d.d. , v skladu z Zakonom o zavarovalništvu na podlagi pogodb o izločenem poslu za nedoločen čas izvaja ključne funkcije notranje revizije družb: Zavarovalnica Sava, d.d., Življenjska zavarovalnica Vita, d.d., Sava pokojninska družba, d.d ter Sava Infond, družba za upravljanje, d.o.o.

Direktorica SNR Polonca Jug Mauko je imenovana za nosilko ključne funkcije notranje revizije Save Re, d.d., Zavarovalnice Sava, d.d., in za nosilko ključne funkcije notranje revizije na ravni Zavarovalne skupine Sava.

2 OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV, UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE

Oceno uspešnosti in učinkovitosti delovanja sistema notranjih kontrol in upravljanja tveganj nosilka ključne funkcije notranje revizije dajem za leto 2022 na podlagi opravljenih notranjerevizijskih poslov. Notranje revidiranje je na oceni tveganj zasnovan stalen in celovit nadzor nad poslovanjem družbe z namenom preverjanja in presoje, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja doseganje pomembnih ciljev družbe. Sistem notranjih kontrol terminološko pojmujemo kot celoto, ki zajema procese upravljanja tveganj, kontrolne postopke in upravljanja družbe in skupine ter omogoča uresničevanje pomembnih ciljev družbe. Z opravljenimi notranjerevizijskimi posli smo pokrili vsa ključna tveganja družbe.

kontrolni postopki ter upravljanje družbe in tveganj še izboljšajo. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Priporočila notranje revizije so odgovorne osebe aktivno uresničevale. Priporočila, ki so bila dana v zadnjem tromesečju, in priporočila, ki se nanašajo na izboljšavo informacijske tehnologije, pa potrebujejo za izvedbo nekoliko več časa.

Pri rednih notranjerevizijskih poslih je bila pozornost usmerjena tudi na možnost nastanka prevar in na izpostavljenost oziroma morebitno ranljivost IT-podpore poslovanju ter uresničevanju etičnega in trajnostnega ravnanja. Sistem notranjih kontrol na področjih, ki so bila predmet notranjerevizijskih poslov, je uveden in deluje tako, da preprečuje nastanek morebitnih prevar. Pri opravljenih revizijah so bila dana tudi priporočila za izboljšavo informacijskega sistema.

3 PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2022

V letu 2022 je SNR opravljala notranjerevizijske posle in druge dejavnosti na podlagi Letnega načrta dela SNR za leto 2022.

Načrtovanih in izvedenih je bilo 45 notranjerevizijskih poslov:

1) 1_R_2022/SRe Revizija upravljanja dokumentacije;
2) 2_R_2022/SRe Revizija procesa upravljanja dostopov do informacijskih sistemov;
3) 3_R_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje);
4) 4_R_2022/SRe Revizija procesa načrtovanja;
5) 5_R_2022/SRe Revizija kadrovske funkcije;
6) 6_R_2022/SRe Revizija funkcije upravljanja tveganj;
7) 7_R_2022/SRe Revizija upravljanja ključnih zunanjih IT dobaviteljev;
8) 8_R_2022/SRe Revizija napredovanja projekta za razvoj informacijske podpore za upravljanje pozavarovanja – CORE ERP;
9) 9_R_2022/SRe Revizija procesa upravljanja IT COBIT 2019;
10) 10_R_2022/SRe Revizija ustreznosti delovanja izločenega posla gospodarjenja s finančnimi instrumenti;
11) 11_R_2022/SRe Neprekinjeno revidiranje IT;
12) 12_R_2022/SRe Revizija aktuarske funkcije na nivoju skupine;
13) 1_SV_2022/SRe Svetovalni posel skladnost programskega paketa Simcorp z zakonodajnimi in regulativnimi zahtevami;
14) 2_SV_2022/SRe Svetovalni posel uvedba ESG;
15) 3_SV_2022/SRe Pregled zrelosti procesa upravljanja IT COBIT 2019 v Zavarovalni skupini Sava;
16) 4_SV_2022/SRe Svetovalni posel funkcija nabave;
17) 5_SV_2022/SRe Neformalni svetovalni posli;
18) 1_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 Illyria;
19) 2_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 Illyria Life;

20) 3_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 SO MNE;
21) 4_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 SŽO;
22) 5_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 SNO;
23) 6_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 SO MKD;
24) 7_SOD_2022/SRe Revizija procesa upravljanja IT COBIT 2019 SPD MKD;
25) 8_SOD_2022/SRe Svetovalni posel funkcija nabave Illyria;
26) 9_SOD_2022/SRe Svetovalni posel funkcija nabave Illyria Life;
27) 10_SOD_2022/SRe Svetovalni posel funkcija nabave SNO;
28) 11_SOD_2022/SRe Svetovalni posel funkcija nabave SŽO;
29) 12_SOD_2022/SRe Svetovalni posel funkcija nabave SO MKD;
30) 13_SOD_2022/SRe Svetovalni posel funkcija nabave SPD MKD;
31) 14_SOD_2022/SRe Svetovalni posel funkcija nabave SO MNE;
32) 15_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – Illyria;
33) 16_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – Illyria Life;
34) 17_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – SNO;
35) 18_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – SŽO;
36) 19_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – SO MKD;
37) 20_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – SPD MKD;
38) 21_SOD_2022/SRe Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) – SO MNE;
39) 22_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe SO MKD;
40) 23_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe SPD MKD;
41) 24_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe SO MNE;
42) 25_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe SŽO;
43) 26_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe SNO;
44) 27_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe Illyria;
45) 28_SOD_2022/SRe Sodelovanje Group Audit odvisne družbe Illyria Life.

4 POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV

Notranja revizija je na podlagi presoje tveganj vključevala stalen in celovit nadzor nad poslovanjem družbe zaradi preverjanja in ocenjevanja, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja uresničevanje teh pomembnih ciljev družbe:

uspešno in učinkovito poslovanje, vključno z doseganjem ciljev poslovne in finančne uspešnosti, ter varovanje sredstev pred izgubo;
zanesljivo, pravočasno, pregledno notranje in zunanje računovodsko in neračunovodsko poročanje;
skladnost z zakoni in drugimi predpisi ter notranjimi pravili;
upravljanje informacijske tehnologije, ki podpira uresničevanje strategije in ciljev družbe;
ocenjevanje tveganja prevar in način njihovega obravnavanja v družbi.

SNR je tekoče pisno poročala o svojem delu revidiranim osebam, hkrati pa predložila poročila v seznanitev ter ugotovitve in priporočila v sprejetje upravi družbe. Obdobno pa je, na podlagi povratnih informacij odgovornih oseb za izvedbo priporočil, poročala o uresničevanju slednjih upravi, revizijski komisiji in nadzornemu svetu.

Podrobnejši pregled notranjerevizijskih poslov z vsemi ugotovitvami, nepravilnostmi in priporočili je SNR predložila v četrtletnih poročilih upravi, revizijski komisiji in nadzornemu svetu.

SNR ocenjuje ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol skladno s standardom 2410.A1. Skladno z metodologijo Zavarovalne skupine Sava smo uporabljali lestvico za oceno sistema notranjih kontrol:

ZELO DOBER – kontrolni sistem revidiranega poslovnega področja/organizacijske enote je v vseh pogledih zelo dober; vzpostavljene so čvrste notranje kontrole; vse ključne kontrole delujejo in pri tem ni odstopanj. Nadzor je optimalen. Tveganje je zelo majhno. Ni ugotovitev z oceno srednjega ali visokega tveganja.

DOBER – kontrolni sistem je na splošno dober; manjše slabosti lahko odpravi vodstvo poslovne funkcije (področja)/organizacijske enote med poslovnim procesom. Vodstvo dobro obvladuje poslovanje, odgovornosti in pooblastila se v praksi izvajajo. Kjer se pojavijo odstopanja, sledijo takojšnji ukrepi in neprestano izpopolnjevanje postopkov. Nadzor se izvaja redno. Tveganje je majhno. 1–2 ugotovitvi z oceno srednjega tveganja, ni ugotovitev visokega tveganja.

PRIMEREN – kombinacija nekaterih pomanjkljivosti v kontrolnem sistemu, ki jih mora vodstvo poslovnega področja/organizacijske enote čim prej odpraviti. Vodstvo se zaveda potrebnosti spremljave in nadzora, postopki in odgovornosti so okvirno opredeljeni. Nadzor se izvaja občasno. Tveganje je srednje. Večina ugotovitev je z oceno srednjega tveganja.

NI PRIMEREN – resne pomanjkljivosti v kontrolnem sistemu, ki vplivajo na slabitev poslovanja in jih mora vodstvo poslovnega področja/organizacijske enote obvezno takoj odpraviti. Nadzor se ne izvaja po formalno zapisanih postopkih in je prepuščen posameznikom. Tveganje je veliko. Obstajajo ugotovitve visokega tveganja.

NEZADOVOLJIV – visoka stopnja hudih pomanjkljivosti (neusklajenost s predpisi, popolno pomanjkanje kontrol), ki zahtevajo celovito reorganizacijo poslovnega področja/organizacijske enote. Nadzor nad poslovanjem se ne izvaja. Tveganje je zelo veliko.

Kljub navedeni lestvici pa lahko, glede na zahtevano strokovnost in etično delovanje preizkušenega notranjega revizorja, del ocene sistema notranjih kontrol ostane v domeni preizkušenega notranjega revizorja.

V nadaljevanju je naveden kratek povzetek ključnih ugotovitev pregledanih področij v Savi Re (povzetka sodelovanja pri notranjih revizijah odvisnih družbah ne navajamo, ker je to zajeto v letnih poročilih notranje revizije odvisnih družb).

Revizija upravljanja dokumentacije (1_R_2022/SRe)

Revizija je zajemala pregled in oceno ustreznosti postopkov izvajanja elektronskega poslovanja z določbami ZEISZ (Zakona o elektronski identiteti in storitvah zaupanja), z notranjimi pravili in dobrimi praksami digitalizacije dokumentarnega gradiva, storitvami zaupanja in uporabe e-podpisa, skladnosti z področno zakonodajo na področju varstva dokumentarnega in arhivskega gradiva ter upravljanja fizične arhive družbe in sistema dokumentacije (objava in dostop do internih aktov družbe).

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem področju poslovanja kot PRIMEREN.

Podali smo štirinajst priporočil, od tega deset s srednjim in dve z nizkim tveganjem ter dve priložnosti za izboljšave. Priporočila se nanašajo na vzpostavitev Pravilnika o arhiviranju, ki bo vključeval vse zahteve ZVDAGA-A, UVDAG in PETZ, da se določi seznam gradiv, ki se bodo digitalizirala skupaj s terminskim načrtom izvedbe ter dokumentira vse postopke zajema dokumentarnega gradiva. Skupaj z Zgodovinskim arhivom Ljubljana naj se izvede strokovni pregled postopkov zajema in hrambe ter odbiranje starejšega gradiva. Začne naj se s spremljanjem temperature in vlage ter zavaruje fizične dostope, kjer je potrebno ter uvede redni letni pregled vidika izvajanja ključnih aktivnosti procesa zajema in hrambe dokumentarnega gradiva. Priporočali smo tudi ureditev evidentiranja pogodb, da se bo pravilno zajemalo vse metapodatke v pogodbah ter podpisovanje pogodb, da bodo pogodbe podpisane bodisi lastnoročno in digitalizirane ustrezno ali pa z elektronskim podpisom in vhodno in izhodno pošto digitalizira v celoti in obvladuje preko aplikacije mDocs.

Revizija procesa upravljanja dostopov do informacijskih sistemov (2_R_2022/SRe)

Revizija je zajemala pregled in oceno procesa upravljanja dostopov do informacijskih sistemov glede na upravljavsko prakso upravljanja identitete in logičnega dostopa uporabnika okvira za vodenje in upravljanje informacij in tehnologije COBIT 2019. Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem procesu kot PRIMEREN.

V okviru izvedene revizije smo podali štiri priporočila, od tega eno z visokim, eno s srednjim tveganjem ter dve priložnosti. Kot visoko smo ocenili tveganje, katerih posledice ob uresničitvi pomenijo velik vpliv na poslovanje in ugled družbe (vdor v sistem, razkritje osebnih in zaupnih podatkov). Podali smo priporočilo glede uvedbe procesa upravljanja identitete uporabnika.

Revizija korporativnega upravljanja, komuniciranja in poročanja (notranje in zunanje poročanje) (3_R_2022/SRe)

Revizija je zajemala pregled in oceno skladnosti izvajanja korporativnega upravljanja družbe znotraj skupine s sprejetimi politikami, standardi ter nadgradnjo s priporočili dobre prakse za vse družbe v skupini, internega komuniciranja in sistema pooblastil, izvajanja notranjega in zunanjega poročanja ter izvajanja nalog nosilcev poslovnih funkcij v skupini.

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem področju kot DOBER.

Izdanih je bilo skupno pet priporočil za upravljanje tveganj, od tega dve s srednjim in dve z nizkim tveganjem ter ena priložnosti. Priporočila se nanašajo na preučitev in ustrezno umestitev upravljanja skupine v organizacijo družbe.

Revizija procesa načrtovanja (4_R_2022/SRe)

Revizija je zajemala pregled in oceno ustreznosti postopkov obvladovanja tveganj pri procesu načrtovanja, ki se odvija v Službi za strateško načrtovanje in kontroling.

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem procesu kot DOBER.

Podali smo dve priporočili z nizkim tveganjem in sicer vezani na posodobitev internih aktov.

Revizija kadrovske funkcije (5_R_2022/SRe)

Revizija je zajemala pregled in oceno uspešnosti in učinkovitosti izvajanja kadrovske funkcije.

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem procesu kot PRIMEREN.

Podali smo trinajst priporočil, in sicer pet s srednjim in pet z nizkim tveganjem ter tri priložnosti za izboljšave. Priporočila se nanašajo na nadgradnjo in razvoj upravljanja z dokumentacijo in navodili za delo v kadrovskem procesu, povečanje učinkovitosti programske podpore, ki se v procesu uporablja, brezpapirno poslovanje in elektronsko arhiviranje, preučitev uvedbe ocenjevanja zaposlenih po metodi 360° oziroma po podobni ustrezni metodi ter zagotavljanje skladnosti koriščenja letnih dopustov s strani zaposlenih ter izvajanje aktivnosti za zagotavljanje udeležbe zaposlenih na obveznih izobraževanjih.

Revizija funkcije upravljanja tveganj (6_R_2022/SRe)

Revizija je zajemala pregled in oceno sistema upravljanja tveganj v družbi in skupini ter pregled in oceno razvoja, testiranja in implementacije modelov in metod na področju upravljanja tveganj (Razvojni center za modeliranje).

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

Podali smo štiri priporočila, in sicer eno s srednjim in eno z nizkim tveganjem ter dve priložnosti za izboljšave. Priporočili se nanašajo na potrebno prenovo internih aktov področja ter na pregled seznama uporabniških imen v zvezi z dostopi do aplikacije za ocenjevanje tveganj.

Revizija upravljanja ključnih zunanjih IT dobaviteljev (7_R_2022/SRe)

Revizija je zajemala primernosti upravljanja ključnih zunanjih IT dobaviteljev. Oceno primernosti upravljanja ključnih zunanjih IT dobaviteljev smo izvedli na podlagi dveh dobrih praks, ena je okvir za upravljanje in vodenje IT COBIT 2019 organizacije ISACA, druga pa primer dobre prakse standardov skupine ISO/IEC 20000. Tekom pregleda smo upoštevali tudi zahteve predloga Uredbe o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014 in (EU) št. 909/2014 (DORA).

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri revidiranem procesu kot PRIMEREN.

Podali smo šest priporočil za izboljšanje, od tega tri s srednjim in tri z nizkim tveganjem. Priporočila se nanašajo na ocenjevanje tveganj na področju upravljanja IT storitev, ko ni zapisanih določil o izhodni strategiji, prav tako je potrebno upoštevati zahteve DORA in AZN glede pregledov dobaviteljev za namen spremljanja in vrednotenja ustreznosti izvajanja storitev in izvajati presoje na osnovi pregleda kazalnikov uspešnosti.

Revizija napredovanja projekta za razvoj informacijske podpore za upravljanje pozavarovanja – CORE ERP (8_R_2022/SRe)

Revizija je zajemala pregled in oceno učinkovitosti in uspešnosti izvajanja projekta glede na zadane projektne cilje in časovnico, primernosti načrtovanih razvojnih aktivnosti implementacije programske podpore za proces pozavarovanj (časovni vidik, finančni vidik in razpoložljivost človeških virov) ter primernost implementacije načrtovanih funkcionalnosti

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri pregledanem projektu kot PRIMEREN.

Podali smo pet priporočil, od tega dve s srednjim tveganjem (kazalci, časovnica), dve z nizkim tveganjem (človeški viri, rezervni načrt migracije) ter priložnost za izboljšavo.

Revizija procesa upravljanja IT – COBIT 2019 (9_R_2022/SRe)

Revizija je zajemala pregled in oceno zrelosti, uspešnosti in učinkovitosti procesov upravljanja IT, opredeljenih v COBIT 2019 v domeni Evaluate, Direct and Monitor (EDM). Upravljanje IT se izvaja skladno z letnimi načrti skozi strategijo IT, ki je vezana na strategijo družbe, kar predstavlja primeren okvir izvajanja IT aktivnosti. Pri tem pa je potrebno še nadgraditi redni nadzor nad aktivnostmi IT in zagotoviti poročanje do vseh ključnih deležnikov. Ostali cilji revizije so bili pregled in ocena zrelosti, uspešnosti in učinkovitosti posameznega ali več procesov upravljanja informacijske tehnologije, ki v družbi še niso na želenem nivoju zrelosti, opredeljenem v IT skupine, vključno z notranjimi pravili in skladnostjo s področno zakonodajo na področju GDPR ter follow-up revizije 9_R_2021/SRe Revizija procesa upravljanja IT - COBIT 2019. Pri pregledu smo se osredotočili tudi na primernost postopkov Službe za informacijsko tehnologijo.

Podali smo deset priporočil za izboljšanje na področju upravljanja IT storitev od tega sedem s srednjim in tri z nizkim tveganjem. Priporočila se nanašajo predvsem na nadaljevanje vzpostavljanja kazalnikov uspešnosti, ki temeljijo na dobrih praksah kontrol COBIT 2019, ustreznega upoštevanja posameznih kontrol COBIT 2019, ki v SRe še niso bile vzpostavljene ter povezovanju postopkov upravljanja informacijske tehnologije, ki bodo omogočali jasno razumevanje vseh aktivnosti v SIT.

Revizija ustreznosti delovanja izločenega posla – gospodarjenja s finančnimi instrumenti (10_R_2022/SRe)

Revizija je zajemala pregled in oceno pregled in ocena skladnosti delovanja izločenega posla prenosa aktivnosti upravljanja dela naložbenega portfelja družbe z zakonodajo in dobro prakso.

Podali smo dve priporočili z nizkim tveganjem, povezani s posodobitvijo internih aktov.

Neprekinjeno revidiranje – IT (11_R_2022/SRe)

Neprekinjeno revidiranje je zajemalo sodelovanje na sestankih odbora za informacijsko varnost, sestankih projektne skupine za CORE ERP, pri klasifikacijskem načrtu Sava Re za pripravo na nov dokumentni sistem ter sodelovanja pri pripravi internih smernic za varnostno preverjanje WEB aplikacij. Izvajali smo preglede zunanjih poročil varnostnih pregledov informacijskih sistemov ter pregledali PCI DSS 4.0 zahteve za pošiljanje samoocenitvenega vprašalnika družbam ZSS.

Pregledali smo Poročilo informacijske varnosti za leto 2021, Poročilo informacijske varnosti – Q1 – 2022 ter Strategijo informacijske varnosti 2022-2027.

Revizija aktuarske funkcije na nivoju skupine (12_R_2022/SRe)

Po skoraj vseh družbah v skupini se je izvedel pregled in ocena delovanja aktuarskih funkcij s cilji:

skladnost delovanja glede na sprejete interne akte vezane na aktuarsko funkcijo,
primernost modelov ki se uporabljajo pri aktuarskih izračunih v skladu z zakonodajo in drugimi usmeritvami,
pravilnost, popolnost, točnost in avtorizacija vhodnih podatkov,
popolnost in točnost izhodnih podatkov,
pregled ustreznosti IFRS in SII rezervacij.

Revizije po odvisnih družbah je izvedla zunanja strokovnjakinja mag. Mateja Keržič, iz podjetja Acturus d.o.o.

5 PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI

SNR obdobno poroča o stanju izvedbe priporočil oziroma predlogov, danih na podlagi ugotovljenih nepravilnosti ali pomanjkljivosti. Med 1. 1. in 31. 12. 2022 smo spremljali 119 priporočil. Na podlagi opravljenih notranjerevizijskih pregledov smo v letu 2022 predlagali 68 priporočil.

V družbi je od 119 priporočil uresničenih 63 priporočil (od tega 13 priložnosti), 41 priporočilom pa se še ni iztekel rok izvedbe. 15 priporočilom je bil ta rok podaljšan. Delež uresničenih zapadlih priporočil na dan 31. 12. 2022 je bil 100-odstoten.

6 ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI

Kadrovska struktura SNR je v letu 2022 obsegala 10 zaposlenih. Od teh jih ima 6 pridobljen naziv preizkušeni notranji revizor, dva pa sta preizkušena revizorja informacijskih sistemov. Zaposleni imajo tudi licence: CISA, CRISC, CISM, CSX, vodilni presojevalec ISO 9001, ISO 22301, ISO/IEC 27001, 27018, ISO/IEC 20000, PCI DSS ASV, PCI DSS QSA, EIDAS, NPK-varnostni manager, preizkušeni računovodja javnega sektorja, preizkušeni državni notranji revizor, notranji presojevalec ISO 9001, ISO 14001, ISO 18001, ISO 45000 in IIA Quality Assessment.

Menim, da število in struktura oseb v SNR praviloma omogoča ustrezno izpolnitev načrtovanih dejavnosti, če ni daljših nenačrtovanih odsotnosti in/ali povečanega nenačrtovanega obsega dela.

Zaposleni v SNR smo se v letu 2022 udeležili izobraževanj z različnih področij. Poleg izobraževanj v organizaciji Slovenskega inštituta za revizijo, ISACA, IIA Slovenija, Hrvaška in Srbija, notranjih internih izobraževanj z različnih področij, skladnosti in notranje revizije ter mednarodnih WEB-seminarjev redno spremljamo tudi aktualne članke z notranjerevizijskega, (po)zavarovalniškega, računovodskega, finančnega, davčnega in trajnostnega področja. Prav tako je bila uspešno izvedena delavnica notranjih revizorjev Zavarovalne skupine Sava, na kateri smo predstavili metodologijo celovitega mnenja družbe, notranje revidiranje kibernetske varnosti, trajnosti in novosti v poročanju glede programske podpore celovitemu procesu notranjega revidiranja.

V letu 2022 je SNR pripravila Letni načrt dela SNR za leto 2023, Strategijo dela SNR za obdobje 2023- 2027, 4 četrtletna poročila o notranjem revidiranju za obdobja oktober–december 2021, januar–marec 2022, april–junij 2022 in julij–september 2022 ter letno poročilo za leto 2021.

Direktorica SNR je sodelovala na sejah uprave, revizijske komisije in nadzornega sveta, sejah odbora za upravljanje tveganj in na kolegijih družbe. Poslovanje se je spremljalo tudi s pregledom gradiva sej uprave, gradiva odbora za upravljanje tveganj in gradiva kolegijev družbe. V druge dejavnosti je vključeno tudi vodenje službe.

SNR je sodelovala pri rednih četrtletnih ocenah tveganj na ravni Zavarovalne skupine Sava in družbe Sava Re, pripravila pa je tudi notranjerevizijski prispevek k poročanju SFCR in RSR. Prav tako je sodelovala pri načrtovanju za leto 2023 v delu, ki se nanaša na SNR, ter pri pripravi letnega poročila Zavarovalne skupine Sava v delu, ki se nanaša na SNR.

Sodelovanje z zunanjim revizorjem je bilo povezano z usklajevanjem dela zunanjih revizorjev in spremljanjem ugotovitev po predhodni in zaključni reviziji ter z dejavno udeležbo na skupnih sestankih.

Z razvojem SNR so se v 2022 še izpopolnile aktivnosti v povezavi z izvajanjem programske podpore celovitemu procesu notranjega revidiranja na ravni Zavarovalne skupine Sava, hkrati pa se je dopolnila metodologija za pripravo celovitega mnenja družbe in skupine in pripravilo celovito mnenje za družbo in skupino za leto 2022. Dopolnili smo tudi metodologijo neprekinjenega revidiranja, ki ga izvajamo od leta 2021. Od leta 2021 je uvedena notranja revizija skupine (Group Internal Audit) v vseh družbah Zavarovalne skupine Sava, ki smo jo v letu 2022 še izboljševali.

SNR je dajala strokovno pomoč notranjim revizorjem odvisnih družb pri metodologiji, pri izpopolnjevanju delovnih programov za posamezne notranjerevizijske posle, pri izvajanju programske podpore celovitemu procesu notranjega revidiranja in pri uvajanju novih sodelavcev v odvisnih družbah. Minimalno mesečno so se sestajali vsi notranji revizorji v skupini, dejavno pa je bilo tudi sodelovanje med nosilci vseh ključnih funkcij družbe in skupine.

7 PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR

Skladno z zahtevami standardov je SNR opravila presojo kakovosti svojega delovanja. Presoja se izvaja na podlagi Programa za zagotavljanje in izboljšanje kakovosti, ki zajema vse vidike delovanja SNR. O izidih tega programa direktor SNR poroča upravi in revizijski komisiji nadzornega sveta.

V letu 2019 je zunanjo presojo kakovosti notranje revizije v družbi Sava Re, d.d., izvedla družba Deloitte revizija, d.o.o., pri čemer je sodelovala revizijska ekipa: Barbara Žibert Kralj, partnerica, pooblaščena revizorka, odgovorna za kontrolo kakovosti opravljenega dela, Katarina Kadunc, preizkušena notranja revizorka, pooblaščena revizorka, FCC, in Urban Goršič, CIA, CFE, kot zunanji presojevalec. Na podlagi izvedenih postopkov pri zunanji ocenitvi delovanja notranje revizije v družbi Sava Re, d.d., je zunanja presoja potrdila delovanje v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjega revizorja in Kodeksom notranjerevizijskih načel. Deloittov model zrelosti notranje revizije nakazuje notranjerevizijsko stopnjo družbe Sava Re, d.d., v večini lastnosti kot zgornjo stopnjo napredne ravni ali kot vodilno prakso.

Skladno s standardi je SNR za leto 2022 opravila redno letno samoocenitev delovanja. Izidi so pokazali, da je delovanje SNR skladno z opredelitvijo notranjega revidiranja, standardi in kodeksom etike. Program zagotavljanja in izboljševanja kakovosti delovanja SNR smo skladno s smernicami notranjega revidiranja dopolnili z izjavami o skladnosti delovanja notranjega revizorja s standardi in kodeksom etike ter o razkritju in izogibanju nasprotja interesov.

V začetku leta 2023 smo upravi, članom revizijske komisije nadzornega sveta in članom nadzornega sveta poslali vprašalnik o zadovoljstvu z notranjo revizijo (za model zrelosti notranje revizije). Povprečje vseh ocen glede na vrnjene vprašalnike je 3,6 od najvišje ocene 4. Uprava vidi notranjo revizijo kot pomemben člen pri obvladovanju tveganj v družbi in meni, da je pomemben tudi vpliv notranje revizije v družbi.

Metodologijo dela smo še izboljševali, predvsem z vidika vzpostavitve dajanja celovitega mnenja in nadaljnjega razvoja notranjerevizijskega procesa v aplikaciji Pentana. Dopolnili smo tudi metodologijo neprekinjenega revidiranja. Prav tako smo v letu 2022 pregledali in posodobili metodologijo notranje revizije (Priročnik notranje revizije) na ravni družbe Sava Re in na ravni metodologij notranje revizije družb v Zavarovalni skupini Sava.

V marcu 2023 smo izdelali in poslali revizijski komisiji Program zagotavljanja in izboljševanja kakovosti delovanja notranjerevizijske dejavnosti v Savi Re, d.d., s samooceno delovanja za leto 2022. Po seznamu za preverjanje notranjerevizijske neodvisnosti nismo pri nobeni reviziji ugotovili, da bi bila naša neodvisnost kršena ali ovirana. SNR je v letnem načrtu dela predvidela tudi merjenje uspešnosti delovanja notranje revizije. Hkrati spremlja uresničevanje priporočil, ki jih je predlagala upravi. V letu 2022 so bila vsa predlagana priporočila sprejeta s sklepi uprave in predložena v izvajanje odgovornim osebam.

Kot direktorica SNR menim, da je bilo delovanje SNR v letu 2022 skladno s standardi in da smo letni načrt dela izvedli zelo uspešno.

Direktorica SNR in nosilka funkcije notranje revizije

Polonca Jug Mauko

Priloga 1: Slovar

Kratica	Pomen
ASP.ins	Aplikacija za podporo zavarovalnim procesom v hčerinskih družbah Save Re
CFE	Certified Fraud Examiner
CIA	Certified Internal Auditor
	Certified Information System Auditor, certificirani revizor informacijskih sistemov (nadgrajeno pri Slovenskem
CISA	inštitutu za revizijo – certifikat PRIS – preizkušeni revizor informacijskih sistemov)
	Certified Information Security Manager, certificirani upravljavec informacijske varnosti (s tem znanjem se
CISM	postane t. i. CISO oziroma vodja informacijske varnosti)
COBIT 2019	Okvir za vodenje in upravljanje informacij in tehnologije
CORE ERP/sistemi	Programska rešitev za ključni poslovni proces družbe
CRISC	Certified in Risk and Information Systems Control.
	UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA z dne 23. julija 2014 o elektronski identifikaciji
EIDAS	in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 999/93/ES
EU	Evropska unija
IIA	The Institute of Internal Auditors
ISACA Slovenija	Slovensko društvo za nadzor in preverjanje informacijskih sistemov

ISO 14001	Mednarodni standard za sisteme ravnanja z okoljem, ki zajema obvladovanje okoljskih vidikov proizvodne ali
	storitvene dejavnosti (Environmental management system, sistem upravljanja okolja)
ISO 22301	Sistem neprekinjenega poslovanja (Business continuity management system)
ISO 45000	Sistem vodenja varnosti in zdravja pri delu (Occupational health and safety management system)
ISO 9001	Sistem vodenja kakovosti (Quality management system)
ISO/IEC 20000	Sistem upravljanja storitev IT (Service management system)
	Sistem varovanja informacij, sistem varovanja podatkov v javnih oblakih (Information security management
ISO/IEC 27001, 27018	systems, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII
	processors)
IT	Informacijska tehnologija
MS Teams	Microsoft Teams – aplikacija Microsofta za sporazumevanje (sestanki, klici, videoklici, sporočila, deljenje zaslona
	ipd.)
MSRP/IFRS	Mednarodni standardi računovodskega poročanja (International Financial Reporting Standards)
NR	Notranja revizija
NS	Nadzorni svet
P2P	Izobraževanja peer to peer znotraj Save Re
PCI DSS ASV	Preverjanje ranljivosti informacijskih sistemov po standardu PCI DSS (Payment Card Industry Data Security Standard Automatic Scanning Vendor)
	Preverjeni revizor varovanja informacij po standardu PCI DSS (Payment Card Industry Data Security Standard
PCI DSS QSA	Qualified Security Auditor)
PJM	Polonca Jug Mauko
POR	Poročilo
Q4	Oznaka za četrtletje – Q4 pomeni četrto četrtletje
RK	Revizijska komisija
	Programska podpora za integrirani sistem upravljanja naložb, boljše naložbene odločitve in pregled nad celotnim
SIMCORP	poslovanjem v enem sistemu – tudi SimCorp
SNR	Služba notranje revizije
SOC	Security operations center
x_F_201x/družba	Oznaka revizije – follow up – ponovna revizija
x_R_201x/družba	Oznaka revizije – redna revizija
x_SOD_201x/družba	Oznaka revizije – svetovanje/sodelovanje pri reviziji v odvisni družbi
x_SV_201x/družba	Oznaka revizije – svetovalni posel
ZISDU-3	Zakon o investicijskih skladih in družbah za upravljanje
ZZavar-1	Zakon o zavarovalništvu

SRe	Družbe Zavarovalne skupine Sava Sava Re

ZS SPD	Zavarovalnica Sava Sava pokojninska družba

SIn	Sava Infond
SPDMKD	Sava penzisko društvo, Severna Makedonija
SNOSr	Sava neživotno osiguranje Beograd
SŽOSr	Sava životno osiguranje Beograd
SOMKD	Sava osiguruvanje Skopje, Severna Makedonija
SOMNE	Sava osiguranje Podgorica, Črna gora
Illy	Illyria Priština
ILife	Illyria Life Priština
TBS	TBS TEAM 24 d.o.o.
Vita	Vita, življenjska zavarovalnica, d.d.

MNENJE NADZORNEGA SVETA K LETNEMU POROČILU SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2022

V letu 2022 je Služba notranje revizije Save Re (v nadaljevanju SNR) opravljala revizijske posle na področjih, opredeljenih v Letnem načrtu dela SNR za leto 2022.

Revizijski cilji, ki jih je SNR izpolnjevala pri svojem delu, so bili usmerjeni k preverjanju ustreznosti in učinkovitosti postopkov upravljanja tveganj ter uspešnosti in učinkovitosti delovanja kontrolnih postopkov na pomembnejših odsekih poslovanja in upravljanja pozavarovalnice. SNR je preverjala primernost notranjih kontrol, ki preprečujejo verjetnost nastanka prevar, in morebitno ranljivost informacijske podpore poslovanju.

V letu 2022 je bilo izvedenih 45 notranjerevizijskih poslov v družbi Sava Re in odvisnih družbah, pri čemer je SNR sodelovala pri revizijah v več družbah in na podlagi opravljenih poslov v družbi Sava Re predlagala 68 priporočil. Nadzorni svet ugotavlja, da je SNR delovala skladno z usmeritvami nadzornega sveta in uprave družbe ter s svojimi priporočili pomembno prispevala k obvladovanju tveganj v delovanju Save Re in skupine.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja SNR meni, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja dobra. Meni tudi, da je bilo upravljanje Save Re ustrezno in da se še nenehno izboljšuje z namenom doseganja pomembnih ciljev poslovanja ter da družba uspešno upravlja tveganja, pri čemer želi zagotoviti uspešno in gospodarno poslovanje. Po mnenju SNR pa še obstajajo priložnosti za izpopolnitev delovanja sistema notranjih kontrol. Pri opravljenih revizijskih poslih so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in h katerim je dala priporočila za odpravo, zato da se kontrolni postopki ter upravljanje družbe in tveganj izboljšajo. Uprava družbe se zaveda možnih vplivov ugotovljenih kršitev, nepravilnosti in pomanjkljivosti na doseganje ključnih ciljev družbe, zato sprejema ustrezne ukrepe oziroma si prizadeva, da bi te kršitve, nepravilnosti in pomanjkljivosti odpravila. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Uspešnost in učinkovitost delovanja SNR so člani nadzornega sveta spremljali v četrtletnih poročilih in letnem poročilu o delu SNR. Seznanjeni so bili s povzetki opravljene notranje presoje delovanja SNR. Rezultati te presoje so pokazali, da je delovanje SNR v vseh pomembnih pogledih skladno z zakonodajo in Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.

Nadzorni svet na podlagi navedenega daje pozitivno mnenje k letnemu poročilu SNR o notranjem revidiranju za leto 2022.

V Ljubljani, 22. 3. 2023

Nadzorni svet Save Re, d.d. predsednik Davor Ivan Gjivoje jr.

AI Terminal

Pozavarovalnica Sava

1987_rns_2023-04-11_f3cd8da9-7cb6-43f3-b341-056c727e681d.pdf