LETNO POROČILO SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2023

Pripravila	Polonca Jug Mauko
Sprejela	uprava družbe
Soglasje	nadzorni svet
Vrsta dokumenta	poročilo
Služba	notranja revizija
Vrsta zaupnosti	zaupno
Številka poročila	6-2024/POR/PJM
Prejemniki poročila	uprava družbe
	člani nadzornega sveta družbe
	člani revizijske komisije nadzornega
	sveta družbe
	skupščina družbe
	nosilci ključnih funkcij in DPO
Jezikovni različici	slovenščina, angleščina
Datum priprave	25. 3. 2024
Datum pošiljanja upravi, RK in NS	25. 3. 2024
Datum sprejetja na seji uprave	26. 3. 2024
Datum sprejetja na seji RK in NS	2. 4. 2024 na seji RK in 4. 4. 2024 na
	seji NS

Ljubljana, marec 2024

KAZALO

1	UVOD	3
	1.1 Organizacijska neodvisnost notranje revizije 3
2	OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV,
	UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE	3
3	PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2023	4
4	POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV	6
5	PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI
	10
6	ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI	11
7	PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR	12

1 UVOD

Na podlagi 165. člena Zakona o zavarovalništvu (ZZavar-1), Politike notranje revizije Save Re, d.d. (v nadaljevanju Sava Re), Strategije dela Službe notranje revizije (v nadaljevanju SNR) za obdobje 2023 do 2027 in Letnega načrta dela SNR za leto 2023 je SNR pripravila Letno poročilo o notranjem revidiranju za leto 2023.

Vsebina poročila zajema:

poročilo o organizacijski neodvisnosti notranje revizije;
oceno uspešnosti in učinkovitosti delovanja kontrolnih postopkov, upravljanja tveganj in upravljanja Save Re;
pregled uresničitve letnega načrta dela za leto 2023;
povzetek pomembnejših ugotovitev izvedenih revizijskih poslov;
pregled uresničitve priporočil za odpravo pomanjkljivosti in nepravilnosti;
pregled uresničitve drugih dejavnosti SNR (zaposleni, izobraževanje in usposabljanje);
povzetek Programa za zagotavljanje in izboljševanje kakovosti notranje revizije.

1.1 Organizacijska neodvisnost notranje revizije

SNR je samostojen organizacijski del, ki je funkcionalno in organizacijsko ločen od drugih organizacijskih delov Save Re. Administrativno poroča upravi Save Re, funkcijsko pa revizijski komisiji in nadzornemu svetu družbe. Tako je zagotovljena samostojnost in organizacijska neodvisnost delovanja SNR.

Sava Re, d.d. , v skladu z Zakonom o zavarovalništvu na podlagi pogodb o izločenem poslu za nedoločen čas izvaja ključne funkcije notranje revizije družb: Zavarovalnica Sava, d.d., Življenjska zavarovalnica Vita, d.d., Sava pokojninska družba, d.d ter Sava Infond, družba za upravljanje, d.o.o.

Direktorica SNR Polonca Jug Mauko je imenovana za nosilko ključne funkcije notranje revizije Save Re, d.d., Zavarovalnice Sava, d.d., in za nosilko ključne funkcije notranje revizije na ravni Zavarovalne skupine Sava.

2 OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV, UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE

Oceno uspešnosti in učinkovitosti delovanja sistema notranjih kontrol in upravljanja tveganj nosilka ključne funkcije notranje revizije dajem za leto 2023 na podlagi opravljenih notranjerevizijskih poslov. Notranje revidiranje je na oceni tveganj zasnovan stalen in celovit nadzor nad poslovanjem družbe z namenom preverjanja in presoje, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja doseganje pomembnih ciljev družbe. Sistem notranjih kontrol terminološko pojmujemo kot celoto, ki zajema procese upravljanja tveganj, kontrolne postopke in upravljanja družbe in skupine ter omogoča uresničevanje pomembnih ciljev družbe. Z opravljenimi notranjerevizijskimi posli smo pokrili vsa ključna tveganja družbe.

kontrolni postopki ter upravljanje družbe in tveganj še izboljšajo. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Priporočila notranje revizije so odgovorne osebe aktivno uresničevale. Priporočila, ki so bila dana v zadnjem tromesečju, in priporočila, ki se nanašajo na izboljšavo informacijske tehnologije, upravljanje dokumentacije pa potrebujejo za izvedbo nekoliko več časa.

Pri rednih notranjerevizijskih poslih je bila pozornost usmerjena tudi na možnost nastanka prevar in na izpostavljenost oziroma morebitno ranljivost IT-podpore poslovanju ter uresničevanju etičnega in trajnostnega ravnanja. Sistem notranjih kontrol na področjih, ki so bila predmet notranjerevizijskih poslov, je uveden in deluje tako, da preprečuje nastanek morebitnih prevar. Pri opravljenih revizijah so bila dana tudi priporočila za izboljšavo informacijskega sistema.

3 PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2023

V letu 2023 je SNR opravljala notranjerevizijske posle in druge dejavnosti na podlagi Letnega načrta dela SNR za leto 2023.

Načrtovanih in izvedenih je bilo 43 notranjerevizijskih poslov:

1) 1_R_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami;
2) 2_R_2023/SRe Revizija ORSA procesa;
3) 3_R_2023/SRe Revizija procesa in informacijske podpore za upravljanje z zahtevki SysAid;
4) 4_R_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti;
5) 5_R_2023/SRe Revizija upravljanja podatkovnih virov BI-DWH;
6) 6_R_2023/SRe Revizija procesa naložbenja;
7) 7_R_2023/SRe Revizija procesa pogodbenih pozavarovanj;
8) 8_R_2023/SRe Revizija skladnosti poslovanja s trajnostnimi zahtevami (sodelovanje s funkcijo skladnosti);
9) 9_R_2023/SRe Revizija procesa upravljanja IT;
10) 10_R_2023/SRe Revizija procesa obračuna osebnih prejemkov in potnih nalogov;
11) 11_R_2023/SRe Neprekinjeno revidiranje IT;
12) 1_SV_2023/SRe Svetovalni posel skladnost programskega paketa Simcorp z zakonodajnimi in regulativnimi zahtevami;
13) 2_SV_2023/SRe Svetovalni posel skladnosti z regulativo NIS2 (The Network and Information Security Directive), DORA (Digital Operational Resilience Act) in zakonodajo (ZVOP-2);
14) 3_SV_2023/SRe Pregled zrelosti procesa upravljanja IT COBIT 2019 v Zavarovalni skupini Sava;
15) 4_SV_2023/SRe Neformalni svetovalni posli;
16) 1_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami Illyria;
17) 2_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami Illyria Life;
18) 3_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami SŽO;
19) 4_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami SNO;
20) 5_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami SO MKD;

21) 6_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami SPD MKD;
22) 7_SOD_2023/SRe Revizija sistema sklepanja pogodb z revizorskimi družbami SO MNE;
23) 8_SOD_2023/SRe Revizija procesa upravljanja IT Illyria;
24) 9_SOD_2023/SRe Revizija procesa upravljanja IT Illyria Life;
25) 10_SOD_2023/SRe Revizija procesa upravljanja IT SO MNE;
26) 11_SOD_2023/SRe Revizija procesa upravljanja IT SŽO;
27) 12_SOD_2023/SRe Revizija procesa upravljanja IT SNO;
28) 13_SOD_2023/SRe Revizija procesa upravljanja IT SO MKD;
29) 14_SOD_2023/SRe Revizija procesa upravljanja IT SPD MKD;
30) 15_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti Illyria;
31) 16_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti SO MNE;
32) 17_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti SŽO;
33) 18_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti SNO;
34) 19_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti SO MKD;
35) 20_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti SPD MKD;
36) 21_SOD_2023/SRe Revizija upravljanja kapitala in kapitalske ustreznosti Illyria Life;
37) 22_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe SO MKD;
38) 23_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe SPD MKD;
39) 24_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe SO MNE;
40) 25_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe SŽO;
41) 26_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe SNO;
42) 27_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe Illyria;
43) 28_SOD_2023/SRe Sodelovanje Group Audit odvisne družbe Illyria Life.

4 POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV

Notranja revizija je na podlagi presoje tveganj vključevala stalen in celovit nadzor nad poslovanjem družbe zaradi preverjanja in ocenjevanja, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja uresničevanje teh pomembnih ciljev družbe:

uspešno in učinkovito poslovanje, vključno z doseganjem ciljev poslovne in finančne uspešnosti, ter varovanje sredstev pred izgubo;
zanesljivo, pravočasno, pregledno notranje in zunanje računovodsko in neračunovodsko poročanje;
skladnost z zakoni in drugimi predpisi ter notranjimi pravili;
upravljanje informacijske tehnologije, ki podpira uresničevanje strategije in ciljev družbe;
ocenjevanje tveganja prevar in način njihovega obravnavanja v družbi.

SNR je tekoče pisno poročala o svojem delu revidiranim osebam, hkrati pa predložila poročila v seznanitev ter ugotovitve in priporočila v sprejetje upravi družbe. Obdobno pa je, na podlagi povratnih informacij odgovornih oseb za izvedbo priporočil, poročala o uresničevanju slednjih upravi, revizijski komisiji in nadzornemu svetu.

Podrobnejši pregled notranjerevizijskih poslov z vsemi ugotovitvami, nepravilnostmi in priporočili je SNR predložila v četrtletnih poročilih upravi, revizijski komisiji in nadzornemu svetu.

SNR ocenjuje ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol skladno s standardom 2410.A1. Skladno z metodologijo Zavarovalne skupine Sava smo uporabljali lestvico za oceno sistema notranjih kontrol:

ZELO DOBER – kontrolni sistem revidiranega poslovnega področja/organizacijske enote je v vseh pogledih zelo dober; vzpostavljene so čvrste notranje kontrole; vse ključne kontrole delujejo in pri tem ni odstopanj. Nadzor je optimalen. Tveganje je zelo majhno. Ni ugotovitev z oceno srednjega ali visokega tveganja.

DOBER – kontrolni sistem je na splošno dober; manjše slabosti lahko odpravi vodstvo poslovne funkcije (področja)/organizacijske enote med poslovnim procesom. Vodstvo dobro obvladuje poslovanje, odgovornosti in pooblastila se v praksi izvajajo. Kjer se pojavijo odstopanja, sledijo takojšnji ukrepi in neprestano izpopolnjevanje postopkov. Nadzor se izvaja redno. Tveganje je majhno. 1–2 ugotovitvi z oceno srednjega tveganja, ni ugotovitev visokega tveganja.

PRIMEREN – kombinacija nekaterih pomanjkljivosti v kontrolnem sistemu, ki jih mora vodstvo poslovnega področja/organizacijske enote čim prej odpraviti. Vodstvo se zaveda potrebnosti spremljave in nadzora, postopki in odgovornosti so okvirno opredeljeni. Nadzor se izvaja občasno. Tveganje je srednje. Večina ugotovitev je z oceno srednjega tveganja.

NI PRIMEREN – resne pomanjkljivosti v kontrolnem sistemu, ki vplivajo na slabitev poslovanja in jih mora vodstvo poslovnega področja/organizacijske enote obvezno takoj odpraviti. Nadzor se ne izvaja po formalno zapisanih postopkih in je prepuščen posameznikom. Tveganje je veliko. Obstajajo ugotovitve visokega tveganja.

NEZADOVOLJIV – visoka stopnja hudih pomanjkljivosti (neusklajenost s predpisi, popolno pomanjkanje kontrol), ki zahtevajo celovito reorganizacijo poslovnega področja/organizacijske enote. Nadzor nad poslovanjem se ne izvaja. Tveganje je zelo veliko.

Kljub navedeni lestvici pa lahko, glede na zahtevano strokovnost in etično delovanje preizkušenega notranjega revizorja, del ocene sistema notranjih kontrol ostane v domeni preizkušenega notranjega revizorja.

V nadaljevanju je naveden kratek povzetek ključnih ugotovitev pregledanih področij v Savi Re (povzetka sodelovanja pri notranjih revizijah odvisnih družbah ne navajamo, ker je to zajeto v letnih poročilih notranje revizije odvisnih družb).

Revizija sistema sklepanja pogodb z revizorskimi družbami (1_R_2023/SRe)

Revizija je zajemala pregled sistema sklepanja pogodb z revizorskimi družbami ter se letno izvaja glede na zahteve Politike zagotavljanja neodvisnosti revizorja računovodskih izkazov Sava Re, d.d. in Zavarovalne skupine Sava.

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

Podali smo dve priporočili s srednjim tveganjem. Prvo je vezano na dopolnitev evidence revizijskih in nerevizijskih aktivnosti, drugo pa na podane predloge za posodobitev Politike zagotavljanja neodvisnosti revizorja računovodskih izkazov Sava Re, d.d. in Zavarovalne skupine Sava.

Revizija ORSA procesa (2_R_2023/SRe)

Revizija je zajemala pregled in oceno uspešnosti upravljanja procesa ORSA in skladnosti vsebine lastne ocena tveganj in solventnosti z zakonodajo in internimi akti.

Podali smo dve priporočili s srednjim tveganjem. Prvo je vezano na preučitev možnosti vključitve dodatnih elementov ORSE že pri pripravi poslovnega načrta in drugo na proučitev možnosti istočasne izvedbe scenarijev.

Revizija procesa in informacijske podpore za upravljanje z zahtevki SysAid (3_R_2023/SRe)

Revizija je zajemala pregled in oceno procesa ustreznosti upravljanja sprememb in upravljanja z incidenti in problemi po zahtevah Cobit 2019 za obdobje od uvedbe orodja ITSM SysAid do začetka pregleda v letu 2023. Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol pri pregledanih procesih revidiranega področja kot PRIMEREN.

Na podlagi izvedenih revizijskih postopkov smo podali devet priporočil, od tega štiri s srednjim in pet z nizkim tveganjem, ki se nanašajo na vzpostavitev enotne platforme za upravljane vseh storitev IT v okviru ene programske rešitve (SysAid), uvedbo vseh aktivnosti SysAid kot projekt skladno z metodologijo projektnega vodenja, določanje kritičnosti posamezne napake (incidenta), ki bo določal prioritizacijo odprave ter na opis, vezan na SLA (kdaj bo zahtevek predvidoma izveden glede na nujnost, ki jo je podal uporabnik).

Osnovna ugotovitev revizijskega pregleda je, da obstaja možnost izboljšave procesa, predvsem na poenotenju informacijske podpore za vse vrste zahtevkov, incidentov in problemov ter ustrezne predstavitve uporabnikom glede možnosti, ki jih programska rešitev SysAid nudi.

Revizija upravljanja kapitala in kapitalske ustreznosti (4_R_2023/SRe)

Revizija je zajemala pregled in oceno procesa pravilnosti izračuna kapitalske ustreznosti in likvidnosti družbe glede na zakonske zahteve in interne akte.

Podali smo sedem priporočil, od tega tri s srednjim in štiri z nizkim tveganjem. Priporočila se nanašajo na izvedbo pregleda oziroma uskladitev/posodobitev notranjih aktov (politika upravljanja likvidnostnega tveganja, navodila za poročanje QRT poročil), na spremembo procesa oziroma načina izvajanja določenih aktivnosti (organizacija Naložbenega odbora, določitev kanala/načina za najavo večjih odlivov, pripravo letnega načrta denarnih tokov, vključitev dodatnih postavk v letni načrt denarnih tokov) in preučitev možnosti za zagotovitev kvalitetnejših podatkov o načrtovanih prilivih/odlivih iz naslova pozavarovanj za potrebe planiranja in poročanja o likvidnosti družbe.

Revizija upravljanja podatkovnih virov BI-DWH (5_R_2023/SRe)

Revizija je zajemala pregled in oceno ustreznosti podatkovnih tokov, podatkovnih baz, odvisnosti med posameznimi podatkovnimi bazami ter proces polnjenja DWH, pri čemer smo se oprli na okvir za vodenje in upravljanje informacij in tehnologije COBIT 2019 (COBIT 2019 Framework) na cilje upravljanja DSS01 - Managed Operations, DSS05 - Managed Security Services in DSS06 - Managed Business Process Controls. Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

Proces upravljanja podatkovnega skladišča je upravljan ustrezno, s tem da se velik del izvaja v Zavarovalnici Sava, aktivnosti Sava Re so omejene na pripravo podatkovnih tokov za podatkovni skladišči Sava Re in Zavarovalne skupine Sava. Izboljšava procesa je možna v delu dodeljevanja pravic uporabnikov, kjer manjka kontrola v delu potrditve dostopa s strani lastnika storitve.

Na podlagi izvedenih revizijskih postopkov smo podali eno priporočilo s srednjim tveganjem, ki se nanaša na postopek dodeljevanja uporabniških pravic.

Revizija procesa naložbenja (6_R_2023/SRe)

Revizija je zajemala pregled in oceno ustreznosti procesa naložbenja (izvajanje, spremljanje in poročanje).

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol pri pregledanih procesih revidiranega področja kot ZELO DOBER, saj je proces naložbenja ustrezno urejen z internimi akti, upravljanje poslovne linije financ je primerno in se bo v prihodnje še okrepilo, vzpostavljen je ustrezen okvir za spremljanje (uspešnosti) izločenega posla, ki se tudi ustrezno izvaja, načrtuje se naložbena politika, vzpostavljen je limitni sistem, izvaja se ustrezno spremljanje usklajenosti z naložbeno politiko in limitnim sistemom, spremlja in meri se naložbena tveganja in vzpostavljeno je ustrezno notranje poročanje. Podali smo štiri priporočila z nizkim tveganjem, ki se nanašajo na posodobitev internih aktov.

Revizija procesa pogodbenih pozavarovanj (7_R_2023/SRe)

Revizija je zajemala pregled in oceno ustreznosti procesa pogodbenih pozavarovanj.

Podali smo dve priporočil z nizkim tveganjem, ki sta vezani na pregled Pravilnika o sklepanju pozavarovanj, prevzemanju rizikov in obdelavi škod zunaj Zavarovalne skupine Sava, Pravilnika o sklepanju pozavarovanj in prevzemu rizikov v skupni ter Smernice za prevzem rizikov v Skupini.

Revizija skladnosti poslovanja s trajnostnimi zahtevami (sodelovanje s funkcijo skladnosti) (8_R_2023/SRe)

Revizija je zajemala pregled skladnosti poslovanja družbe glede na regulatorne zahteve povezane s trajnostnostjo in dobro prakso.

Ocenjujemo, da je organiziranost področja ustrezna in upravljanje skupine in pretok informacij na področju trajnostnega razvoja primeren. Družba ima sprejeto strategijo trajnostnega razvoja pripadajoče KPI-je, pri čemer so aktivnosti za določitev ciljnih vrednosti nekaterih KPI-jev še v teku, trajnostna tveganja je vključila v svoj proces upravljanja tveganj. Družba je skladna z zahtevami regulative. Podali smo devet priporočil, od tega pet priložnosti za izboljšanje poslovanja (preučitev vključitve oseb, ki so jih odvisne družbe imenovale za koordinacijo na področju trajnostnega razvoja, v Kolegij za trajnostni razvoj, dopolnitev prezentacij za Kolegije za trajnosti razvoj s sprejetimi sklepi in odgovornimi nosilci, ponovno preučitev zahtev Uredbe EU o razkritjih v finančnem sektorju glede predpogodbenih razkritij in spletnih objav ter v zvezi s tem podajo usmeritev družbam v skupini in pripravo seznam vseh poročanj, ki jih morajo zagotoviti odvisne družbe) in štiri z nizkim tveganjem (sprejetje sklepa uprave za imenovanje članov Kolegija za trajnostni razvoj, preučitev zahteve Zakona o gospodarskih družbah glede sprejetja politike sodelovanja, uskladitve Nabavne politike Zavarovalne skupine Sava z dejanskim stanjem ter zagotovitve, da nosilci poslovnih linij v komunikacijo vključujejo osebe, ki so jih odvisne družbe imenovale za koordinacijo na področju trajnostnega razvoja).

Revizija procesa upravljanja IT (9_R_2023/SRe)

Revizija je zajemala pregled in oceno zrelosti, uspešnosti in učinkovitosti procesov upravljanja IT, opredeljenih v COBIT 2019 ter follow up predhodne COBIT 2019 revizije. Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot PRIMEREN.

Tekom revizije smo podali tri priporočila s srednjim tveganjem, ki se nanašajo predvsem na upravljanje varnostnih podatkov na končnih napravah in na proces upravljanja servisnih zahtevkov.

Notranjerevizijski posel je pokazal napredek pri upoštevanju kontrol, če primerjamo rezultate preverjanja iz 2020, 2021 in 2022. Odprta so še štiri priporočila iz prejšnjih revizij upravljanja, s tem da obstajajo še priložnosti za izboljšanje predvsem na področju upravljanja uporabniških računalniških naprav. Na podlagi izvedenega notranjerevizijskega posla menimo, da proces IT upravljanja v SRe še ni na ustrezni ravni za popolno skladnost z zahtevami COBIT 2019 in na vseh področjih še ne dosega nivoja zrelosti kontrol in procesov, ki si ga je SIT zadal.

Revizija procesa obračuna osebnih prejemkov in potnih nalogov (10_R_2023/SRe)

Revizija je zajemala pregled in oceno ustreznosti procesa obračuna osebnih prejemkov in potnih nalogov v časovnem obsegu pregleda za leto 2022 in obdobje 1-10/2023.

Na podlagi izvedenih revizijskih postopkov smo ocenili uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER, torej, da vodstvo na splošno dobro obvladuje poslovanje, odgovornosti in pooblastila ter nadzor se izvajajo.

Podali smo pet priporočil, eno s srednjim in štiri z nizkim tveganjem. Priporočila so vezana na popis procesa v kadrovski službi in ureditev arhiva, vodenje evidenc o prisotnosti in odsotnosti zaposlenih ter večja angažiranost pri upravičenosti davčno priznanih stroškov iz naslova timbildingov.

Neprekinjeno revidiranje – IT (11_R_2023/SRe)

Neprekinjeno revidiranje je zajemalo spodnje aktivnosti skozi celotno leto:

spremljali smo CORE ERP Steering Committee (z izvajalcem in interni), pregledali poročilo o stanju projekta;
sodelovali smo pri pregledu skladnosti ZVDAGA-A pravilnik o hrambe v SRe;
sodelovali smo pri pregledu zahtev za informacijski sistema za upravljanje z dokumentacijo (Mfiles);
pregledali in sodelovali smo pri pripravi načrta odzivanja na kibernetski incident;
sodelovali smo pri izvajanju Odbora informacijske varnosti;
pregledali smo gradiva pri ustanovitvi Upravljalnega odbora za IT IT Steering Comitee;
sodelovali in predavali smo na prvi IT konferenci ZSS;
sodelovali smo na sestanku v zvezi prenosa lokalnih strežnikov na novo fizično lokacijo v Illyria;
pregledali smo stanje GDPR posvet z DPO Sava Re;
pregledali smo ukrepe, ki jih izvaja IT za pokritje priporočil zunanje revizije za IT področje pregled izvajanja nadzora pravic uporabnikov, nadzora nad aktivnostmi v informacijskih sistemih, upoštevanja zahtev regulatorjev ipd.;
pripravili smo kontrolni seznam ISO/IEC 27001:2022 za vse spremembe;
izvedli smo analizo razkoraka DORA za vse slovenske družbe skupine;
pregledi izvedenih varnostnih analiz in penetracijskih testov (pregled pomanjkljivosti in spremljava aktivnosti za odpravo pomanjkljivosti): celovit pregled informacijskega sistema (2BSecure, Izrael), varnostni testi GO-LIX, Carbonsec (vse na nivoju ZSS).

5 PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI

SNR obdobno poroča o stanju izvedbe priporočil oziroma predlogov, danih na podlagi ugotovljenih nepravilnosti ali pomanjkljivosti. Med 1. 1. in 31. 12. 2023 smo spremljali 109 priporočil. Na podlagi opravljenih notranjerevizijskih pregledov smo v letu 2023 predlagali 53 priporočil.

V družbi je od 109 priporočil uresničenih 79 priporočil (od tega evidentirano 15 priložnosti), 19 priporočilom še ni zapadel rok uresničitve, 14 priporočil pa ima rok podaljšan. Delež uresničenih zapadlih priporočil na dan 31. 12. 2023 je bil 99-odstoten.

ZAUPNO

6 ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI

Kadrovska struktura SNR je v letu 2023 obsegala enajst zaposlenih. Od teh jih ima šest pridobljen naziv preizkušeni notranji revizor, eden CIA, dva pa sta preizkušena revizorja informacijskih sistemov. Dva zaposlena sta dodatno v postopku pridobivanja naziva preizkušeni notranji revizor. Zaposleni imajo tudi licence: CISA, CRISC, CISM, CSX, vodilni presojevalec ISO 9001, ISO 22301, ISO/IEC 27001, 27018, ISO/IEC 20000, PCI DSS ASV, PCI DSS QSA, EIDAS, NPK-varnostni manager, preizkušeni računovodja javnega sektorja, preizkušeni državni notranji revizor, notranji presojevalec ISO 9001, ISO 14001, ISO 18001, ISO 45000 in IIA Quality Assessment.

Menim, da število in struktura oseb v SNR praviloma omogoča ustrezno izpolnitev načrtovanih dejavnosti, če ni daljših nenačrtovanih odsotnosti in/ali povečanega nenačrtovanega obsega dela. Funkcija notranje revizije je v letu 2023 pokrila vsa ključna tveganja in ni bila kakor koli omejena (kadrovsko, tehnično, materialno ipd.) pri izvajanju nalog funkcije notranje revizije.

Zaposleni v SNR smo se v letu 2023 udeležili izobraževanj z različnih področij. Poleg izobraževanj v organizaciji Slovenskega inštituta za revizijo, ISACA, IIA Slovenija, Hrvaška in Srbija, notranjih internih izobraževanj z različnih področij, trajnosti, IT dela, skladnosti in notranje revizije ter mednarodnih WEBseminarjev redno spremljamo tudi aktualne članke z notranjerevizijskega, (po)zavarovalniškega, računovodskega, finančnega, davčnega in trajnostnega področja. Prav tako je bila uspešno izvedena delavnica notranjih revizorjev Zavarovalne skupine Sava, na kateri smo predstavili dobre prakse notranje revizije v Zavarovalni skupini Sava (novo notranjerevizijsko aplikacijo, spremljanje priporočil, četrtletna poročanja, PPT predstavitve, preučitev možnih izboljšav poročanja v novi aplikaciji ipd.), predlog novih Globalnih standardov notranjega revidiranja™, umetno inteligenco in kako jo uporabiti pri notranji reviziji, vpliv DORA implementacije in mehke veščine.

V letu 2023 je SNR pripravila Letni načrt dela SNR za leto 2024, pregledala Strategijo dela SNR za obdobje 2023-2027, 4 četrtletna poročila o notranjem revidiranju za obdobja oktober–december 2022, januar–marec 2023, april–junij 2023 in julij–september 2023 ter letno poročilo za leto 2022.

Direktorica SNR je sodelovala na sejah uprave, revizijske komisije in nadzornega sveta, sejah odbora za upravljanje tveganj in na kolegijih družbe. Poslovanje se je spremljalo tudi s pregledom gradiva sej uprave, gradiva odbora za upravljanje tveganj in gradiva kolegijev družbe. V druge dejavnosti je vključeno tudi vodenje službe. Z zaposlenimi so bili izvedeni letni razgovori in opredelitev osebnih ciljev za 2023/24 ter skozi leto ocena dela zaposlenih v SNR.

SNR je sodelovala pri rednih četrtletnih ocenah tveganj na ravni Zavarovalne skupine Sava in družbe Sava Re, pripravila pa je tudi notranjerevizijski prispevek k poročanju SFCR in RSR. Prav tako je sodelovala pri načrtovanju za leto 2024 v delu, ki se nanaša na SNR, ter pri pripravi letnega poročila Zavarovalne skupine Sava v delu, ki se nanaša na SNR.

Sodelovanje z zunanjim revizorjem je bilo povezano z usklajevanjem dela zunanjih revizorjev in spremljanjem ugotovitev po predhodni in zaključni reviziji ter z dejavno udeležbo na skupnih sestankih.

Z razvojem SNR so se v 2023 še izpopolnile aktivnosti v povezavi z izvajanjem programske podpore celovitemu procesu notranjega revidiranja (uvedli smo novo programsko podporo K10) na ravni Zavarovalne skupine Sava, hkrati pa se je dopolnila metodologija za pripravo celovitega mnenja družbe in skupine in pripravilo celovito mnenje za družbo in skupino za leto 2023. Dopolnili smo tudi metodologijo neprekinjenega revidiranja, ki ga izvajamo od leta 2021. Od leta 2021 je uvedena notranja revizija skupine (Group Internal Audit) v vseh družbah Zavarovalne skupine Sava, ki smo jo v letu 2023 še izboljševali.

SNR je dajala strokovno pomoč notranjim revizorjem odvisnih družb pri metodologiji, pri izpopolnjevanju delovnih programov za posamezne notranjerevizijske posle, pri izvajanju programske podpore celovitemu procesu notranjega revidiranja in pri uvajanju novih sodelavcev v odvisnih družbah. Minimalno mesečno so se sestajali vsi notranji revizorji v skupini, dejavno pa je bilo tudi sodelovanje med nosilci vseh ključnih funkcij družbe in skupine.

Politika notranje revizije je bila posodobljena marca 2023 z datumom začetka uporabe 1.4.2023. V sklopu rednega letnega pregleda smo v decembru 2023 le-to pregledali in spremembe niso bile potrebne. Glede na spremembo Globalnih standardov notranjega revidiranja™, ki bodo začeli veljati 8.1.2025 bomo do konca leta 2024 Politiko notranje revizije ponovno pregledali in jo po potrebi ustrezno prilagodili.

7 PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR

Skladno z zahtevami standardov je SNR opravila presojo kakovosti svojega delovanja. Presoja se izvaja na podlagi Programa za zagotavljanje in izboljšanje kakovosti, ki zajema vse vidike delovanja SNR. O izidih tega programa direktor SNR poroča upravi in revizijski komisiji nadzornega sveta.

V letu 2019 je zunanjo presojo kakovosti notranje revizije v družbi Sava Re, d.d., izvedla družba Deloitte revizija, d.o.o., pri čemer je sodelovala revizijska ekipa: Barbara Žibert Kralj, partnerica, pooblaščena revizorka, odgovorna za kontrolo kakovosti opravljenega dela, Katarina Kadunc, preizkušena notranja revizorka, pooblaščena revizorka, FCC, in Urban Goršič, CIA, CFE, kot zunanji presojevalec. Na podlagi izvedenih postopkov pri zunanji ocenitvi delovanja notranje revizije v družbi Sava Re, d.d., je zunanja presoja potrdila delovanje v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjega revizorja in Kodeksom notranjerevizijskih načel. Deloittov model zrelosti notranje revizije nakazuje notranjerevizijsko stopnjo družbe Sava Re, d.d., v večini lastnosti kot zgornjo stopnjo napredne ravni ali kot vodilno prakso. Naslednja zunanja presoja (neodvisni zunanji presojevalec) se načrtuje v letu 2024 in bo izvedena hkrati na vseh družbah Zavarovalne skupine Sava (izbran izvajalec BDO).

Nadaljevali smo aktivnosti za izboljšave in dopolnjevanja metodologije dela predvsem iz vidika nadaljnjega razvoja notranjerevizijskega procesa z novo notranjerevizijsko aplikacijo, celovitega mnenja ter neprekinjenega revidiranja glavnih procesov. Prav tako smo posodobili Priročnik notranje revizije.

Skladno s standardi je SNR za leto 2023 opravila redno letno samoocenitev delovanja. Izidi so pokazali, da je delovanje SNR skladno z opredelitvijo notranjega revidiranja, standardi in kodeksom etike. Program zagotavljanja in izboljševanja kakovosti delovanja SNR smo skladno s smernicami notranjega revidiranja dopolnili z izjavami o skladnosti delovanja notranjega revizorja s standardi in kodeksom etike ter o razkritju in izogibanju nasprotja interesov.

V začetku leta 2024 smo upravi, članom revizijske komisije nadzornega sveta in članom nadzornega sveta poslali vprašalnik o zadovoljstvu z notranjo revizijo (za model zrelosti notranje revizije). Povprečje vseh ocen glede na vrnjene vprašalnike je 3,6 od najvišje ocene 4. Uprava vidi notranjo revizijo kot pomemben člen pri obvladovanju tveganj v družbi in meni, da je pomemben tudi vpliv notranje revizije v družbi. Odgovori iz vprašalnika predstavljajo pomembno vhodno informacijo pri sestavi Programa kakovosti za zagotavljanje in izboljševanje kakovosti delovanja notranje revizijske dejavnosti. V decembru 2023 so člani revizijske komisije nadzornega sveta in nosilka ključne funkcije notranje revizije na seji Revizijske komisije imeli neodvisen letni razgovor brez prisotnosti uprave.

V marcu 2024 smo izdelali in poslali revizijski komisiji Program zagotavljanja in izboljševanja kakovosti delovanja notranjerevizijske dejavnosti v Savi Re, d.d., s samooceno delovanja za leto 2023. Po seznamu za preverjanje notranjerevizijske neodvisnosti nismo pri nobeni reviziji ugotovili, da bi bila naša neodvisnost kršena ali ovirana. SNR je v letnem načrtu dela predvidela tudi merjenje uspešnosti delovanja notranje revizije. Hkrati spremlja uresničevanje priporočil, ki jih je predlagala upravi. V letu 2023 so bila razen enega priporočila vsa ostala predlagana priporočila sprejeta s sklepi uprave in predložena v izvajanje odgovornim osebam.

Kot direktorica SNR menim, da je bilo delovanje SNR v letu 2023 skladno s standardi in da smo letni načrt dela izvedli zelo uspešno.

Direktorica SNR in nosilka funkcije notranje revizije

Polonca Jug Mauko

Priloga 1: Slovar

Kratica	Pomen
ASP.ins	Aplikacija za podporo zavarovalnim procesom v hčerinskih družbah Save Re
CFE	Certified Fraud Examiner
CIA	Certified Internal Auditor
CISA	Certified Information System Auditor, certificirani revizor informacijskih sistemov (nadgrajeno pri Slovenskem inštitutu za revizijo – certifikat PRIS – preizkušeni revizor informacijskih sistemov)
CISM	Certified Information Security Manager, certificirani upravljavec informacijske varnosti (s tem znanjem se postane t. i. CISO oziroma vodja informacijske varnosti)
COBIT 2019	Okvir za vodenje in upravljanje informacij in tehnologije
CORE ERP/sistemi	Programska rešitev za ključni poslovni proces družbe
CRISC	Certified in Risk and Information Systems Control.
EIDAS	UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 999/93/ES
EU	Evropska unija
IIA	The Institute of Internal Auditors
ISACA Slovenija	Slovensko društvo za nadzor in preverjanje informacijskih sistemov
ISO 14001	Mednarodni standard za sisteme ravnanja z okoljem, ki zajema obvladovanje okoljskih vidikov proizvodne ali storitvene dejavnosti (Environmental management system, sistem upravljanja okolja)
ISO 22301	Sistem neprekinjenega poslovanja (Business continuity management system)
ISO 45000	Sistem vodenja varnosti in zdravja pri delu (Occupational health and safety management system)
ISO 9001	Sistem vodenja kakovosti (Quality management system)
ISO/IEC 20000	Sistem upravljanja storitev IT (Service management system)
ISO/IEC 27001, 27018	Sistem varovanja informacij, sistem varovanja podatkov v javnih oblakih (Information security management systems, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
IT	Informacijska tehnologija
	Microsoft Teams – aplikacija Microsofta za sporazumevanje (sestanki, klici, videoklici, sporočila, deljenje zaslona
MS Teams	ipd.)
MSRP/IFRS	Mednarodni standardi računovodskega poročanja (International Financial Reporting Standards)
NR	Notranja revizija
NS	Nadzorni svet
P2P	Izobraževanja peer to peer znotraj Save Re
PCI DSS ASV	Preverjanje ranljivosti informacijskih sistemov po standardu PCI DSS (Payment Card Industry Data Security Standard Automatic Scanning Vendor)
PCI DSS QSA	Preverjeni revizor varovanja informacij po standardu PCI DSS (Payment Card Industry Data Security Standard Qualified Security Auditor)
PJM	Polonca Jug Mauko
POR	Poročilo
Q4	Oznaka za četrtletje – Q4 pomeni četrto četrtletje
RK	Revizijska komisija
SIMCORP	Programska podpora za integrirani sistem upravljanja naložb, boljše naložbene odločitve in pregled nad celotnim poslovanjem v enem sistemu – tudi SimCorp
SNR	Služba notranje revizije
SOC	Security operations center
x_F_201x/družba	Oznaka revizije – follow up – ponovna revizija
x_R_201x/družba	Oznaka revizije – redna revizija
x_SOD_201x/družba	Oznaka revizije – svetovanje/sodelovanje pri reviziji v odvisni družbi
x_SV_201x/družba	Oznaka revizije – svetovalni posel
ZISDU-3	Zakon o investicijskih skladih in družbah za upravljanje
ZZavar-1	Zakon o zavarovalništvu
Družbe Zavarovalne skupine Sava
SRe	Sava Re
ZS	Zavarovalnica Sava
SPD	Sava pokojninska družba
SIn	Sava Infond
SPDMKD	Sava penzisko društvo, Severna Makedonija
SNOSr	Sava neživotno osiguranje Beograd
SŽOSr	Sava životno osiguranje Beograd
SOMKD	Sava osiguruvanje Skopje, Severna Makedonija
SOMNE	Sava osiguranje Podgorica, Črna gora
Illy	Illyria Priština
ILife	Illyria Life Priština
TBS	TBS TEAM 24 d.o.o.
Vita	Vita, življenjska zavarovalnica, d.d.

MNENJE NADZORNEGA SVETA K LETNEMU POROČILU SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2023

V letu 2023 je Služba notranje revizije Save Re (v nadaljevanju SNR) opravljala revizijske posle na področjih, opredeljenih v Letnem načrtu dela SNR za leto 2023.

Revizijski cilji, ki jih je SNR izpolnjevala pri svojem delu, so bili usmerjeni k preverjanju ustreznosti in učinkovitosti postopkov upravljanja tveganj ter uspešnosti in učinkovitosti delovanja kontrolnih postopkov na pomembnejših odsekih poslovanja in upravljanja pozavarovalnice. SNR je preverjala primernost notranjih kontrol, ki preprečujejo verjetnost nastanka prevar, in morebitno ranljivost informacijske podpore poslovanju.

V letu 2023 je bilo izvedenih 43 notranjerevizijskih poslov v družbi Sava Re in odvisnih družbah, pri čemer je SNR sodelovala pri revizijah v več družbah in na podlagi opravljenih poslov v družbi Sava Re predlagala 53 priporočil. Nadzorni svet ugotavlja, da je SNR delovala skladno z usmeritvami nadzornega sveta in uprave družbe ter s svojimi priporočili pomembno prispevala k obvladovanju tveganj v delovanju Save Re in skupine.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja SNR meni, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja dobra. Meni tudi, da je bilo upravljanje Save Re ustrezno in da se še nenehno izboljšuje z namenom doseganja pomembnih ciljev poslovanja ter da družba uspešno upravlja tveganja, pri čemer želi zagotoviti uspešno in gospodarno poslovanje. Po mnenju SNR pa še obstajajo priložnosti za izpopolnitev delovanja sistema notranjih kontrol. Pri opravljenih revizijskih poslih so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in h katerim je dala priporočila za odpravo, zato da se kontrolni postopki ter upravljanje družbe in tveganj izboljšajo. Uprava družbe se zaveda možnih vplivov ugotovljenih kršitev, nepravilnosti in pomanjkljivosti na doseganje ključnih ciljev družbe, zato sprejema ustrezne ukrepe oziroma si prizadeva, da bi te kršitve, nepravilnosti in pomanjkljivosti odpravila. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Uspešnost in učinkovitost delovanja SNR so člani nadzornega sveta spremljali v četrtletnih poročilih in letnem poročilu o delu SNR. Seznanjeni so bili s povzetki opravljene notranje presoje delovanja SNR. Rezultati te presoje so pokazali, da je delovanje SNR v vseh pomembnih pogledih skladno z zakonodajo in Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju.

Nadzorni svet na podlagi navedenega daje pozitivno mnenje k letnemu poročilu SNR o notranjem revidiranju za leto 2023.

V Ljubljani, 4. 4. 2024

Nadzorni svet Save Re, d.d. predsednik Davor Ivan Gjivoje jr.

AI Terminal

Pozavarovalnica Sava

1987_rns_2024-04-11_181ad0e5-90ad-40eb-9b66-f4764488239c.pdf