LETNO POROČILO SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2024

Pripravila	Polonca Jug Mauko
Sprejela	uprava družbe
Soglasje	nadzorni svet
Vrsta dokumenta	poročilo
Služba	notranja revizija
Vrsta zaupnosti	zaupno
Številka poročila	6-2025/POR/PJM
Prejemniki poročila	uprava družbe
	člani nadzornega sveta družbe
	člani revizijske komisije nadzornega
	sveta družbe
	skupščina družbe
	nosilci ključnih funkcij in DPO
Jezikovni različici	slovenščina, angleščina
Datum priprave	21. 3. 2025
Datum pošiljanja upravi, RK in NS	24. 3. 2025
Datum sprejetja na seji uprave	25. 3. 2025
Datum sprejetja na seji RK in NS	1. 4. 2025 na seji RK in 3. 4. 2025 na
	seji NS

Ljubljana, marec 2025

KAZALO

1	UVOD 3
	1.1 Organizacijska neodvisnost notranje revizije 3
2	OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV, UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE 3
3	PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2024 4
4	POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV 6
5	PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI ………………………………………………………………………………………………………………………………………9
6	ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI 10
7	PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR 11

1 UVOD

Na podlagi 165. člena Zakona o zavarovalništvu (ZZavar-1), Politike notranje revizije Save Re, d.d. (v nadaljevanju Sava Re), Strategije dela Službe notranje revizije (v nadaljevanju SNR) za obdobje 2023 do 2027 in Letnega načrta dela SNR za leto 2024 je SNR pripravila Letno poročilo o notranjem revidiranju za leto 2024.

Vsebina poročila zajema:

poročilo o organizacijski neodvisnosti notranje revizije;
oceno uspešnosti in učinkovitosti delovanja kontrolnih postopkov, upravljanja tveganj in upravljanja Save Re;
pregled uresničevanja letnega načrta in odstopanja od načrta;
povzetek pomembnejših ugotovitev izvedenih revizijskih poslov;
pregled uresničitve priporočil za odpravo pomanjkljivosti in nepravilnosti;
pregled uresničitve drugih dejavnosti SNR (zaposleni, izobraževanje in usposabljanje);
povzetek Programa za zagotavljanje in izboljševanje kakovosti notranje revizije.

1.1 Organizacijska neodvisnost notranje revizije

SNR je samostojen organizacijski del, ki je funkcionalno in organizacijsko ločen od drugih organizacijskih delov Save Re. Administrativno poroča upravi Save Re, funkcijsko pa upravi Save Re, revizijski komisiji in nadzornemu svetu družbe. Tako je zagotovljena samostojnost in organizacijska neodvisnost delovanja SNR.

Sava Re, d.d. , v skladu z Zakonom o zavarovalništvu na podlagi pogodb o izločenem poslu za nedoločen čas izvaja ključne funkcije notranje revizije družb: Zavarovalnica Sava, d.d., Življenjska zavarovalnica Vita, d.d., Sava pokojninska družba, d.d ter Sava Infond, družba za upravljanje, d.o.o.

Direktorica SNR Polonca Jug Mauko je imenovana za nosilko ključne funkcije notranje revizije Save Re, d.d., Zavarovalnice Sava, d.d., in za nosilko ključne funkcije notranje revizije na ravni Zavarovalne skupine Sava.

Kot nosilka funkcije notranje revizije:

sem samostojna,
sem neodvisna,
zaposleni mi ne dajejo kakršnih koli obveznih navodil v zvezi z izvajanjem ključne funkcije oziroma me ne ovirajo pri izvajanju njenih zakonskih nalog.

Funkcija notranje revizije je v letu 2024 pokrila vsa ključna tveganja in ni bila kakor koli omejena (kadrovsko, tehnično, ipd.) pri izvajanju nalog funkcije notranje revizije.

Notranja revizija opravlja notranje revidiranje poslovanja v skladu s Hierarhijo pravil notranjega revidiranja, ki jo sprejema Slovenski inštitut za revizijo na podlagi zakona, ki ureja revidiranje, ter pisnimi pravili delovanja notranje revizije

2 OCENA USPEŠNOSTI IN UČINKOVITOSTI DELOVANJA KONTROLNIH POSTOPKOV, UPRAVLJANJA TVEGANJ IN UPRAVLJANJA SAVA RE

Oceno uspešnosti in učinkovitosti delovanja sistema notranjih kontrol in upravljanja tveganj nosilka ključne funkcije notranje revizije dajem za leto 2024 na podlagi opravljenih notranjerevizijskih poslov. Notranje revidiranje je na oceni tveganj zasnovan stalen in celovit nadzor nad poslovanjem družbe z

namenom preverjanja in presoje, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja doseganje pomembnih ciljev družbe. Sistem notranjih kontrol terminološko pojmujemo kot celoto, ki zajema procese upravljanja tveganj, kontrolne postopke in upravljanja družbe in skupine ter omogoča uresničevanje pomembnih ciljev družbe. Z opravljenimi notranjerevizijskimi posli smo pokrili vsa ključna tveganja družbe.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja sem nosilka ključne funkcije notranje revizije mnenja, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja DOBRA. Prav tako menim, da je bilo ustrezno upravljanje Save Re in da se ta nenehno izpopolnjuje v želji doseči pomembne cilje poslovanja ter da učinkovito upravlja tveganja, pri čemer je namen Save Re uspešno in gospodarno poslovanje. Še vedno pa obstajajo priložnosti za izboljšanje delovanja sistema. Pri opravljanju revizijskih poslov so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in za odpravo katerih je dala priporočila, zato da se kontrolni postopki ter upravljanje družbe in tveganj še izboljšajo. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Priporočila notranje revizije so odgovorne osebe aktivno uresničevale. Priporočila, ki so bila dana v zadnjem tromesečju, in priporočila, ki se nanašajo na izboljšavo informacijske tehnologije, upravljanje dokumentacije, skladnosti in prenove internih aktov pa potrebujejo za izvedbo nekoliko več časa.

Pri rednih notranjerevizijskih poslih je bila pozornost usmerjena tudi na možnost nastanka prevar in na izpostavljenost oziroma morebitno ranljivost IT-podpore poslovanju ter uresničevanju etičnega in trajnostnega ravnanja. Sistem notranjih kontrol na področjih, ki so bila predmet notranjerevizijskih poslov, je uveden in deluje tako, da preprečuje nastanek morebitnih prevar. Pri opravljenih revizijah so bila dana tudi priporočila za izboljšavo informacijskega sistema.

3 PREGLED URESNIČITVE LETNEGA NAČRTA DELA ZA LETO 2024

V letu 2024 je SNR opravljala notranjerevizijske posle in druge dejavnosti na podlagi Letnega načrta dela SNR za leto 2024. Pri izvedbi načrtovanih revizij: revizija upravljanja terjatev družbe (5_R_2024/SRe) ter revizija procesa škod (6_R_2024/SRe), smo izvedli oceno tveganj ter se odločili, da je bolj smotrna izvedba revizij v 2025 letu, ko bo IT CORE v celoti uveden in bomo lahko v popolnosti preverili upravljanje, upravljanje tveganj ter sistem notranjih kontrol iz vsebinskega vidika in še dodatno iz IT vidika, ter tako ti dve reviziji prestavili v Letni načrt dela SNR 2025.

Načrtovanih je bilo 41 notranjerevizijskih poslov, izvedenih pa 39 notranjerevizijskih poslov:

1) 1_R_2024/SRe Revizija upravljanja dostopov in sprememb na podatkovnih bazah ASP.ins;
2) 2_R_2024/SRe Revizija sistema pooblastil in proces upravljanja morebitnih konfliktov interesa;
3) 3_R_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami;
4) 4_R_2024/SRe Revizija funkcije skladnosti poslovanja in procesa zaščite prijaviteljev (whistleblowing);
5) 7_R_2024/SRe Pregled procesa obračuna stroškov dela na nivoju skupine;
6) 8_R_2024/SRe Revizija skladnosti poslovanja s trajnostnimi zahtevami (sodelovanje s funkcijo skladnosti);
7) 9_R_2024/SRe Revizija procesa upravljanja IT;
8) 10_R_2024/SRe Neprekinjeno revidiranje IT;

9) 1_SV_2024/SRe Svetovalni posel skladnost programskega paketa Simcorp z zakonodajnimi in regulativnimi zahtevami;
10) 2_SV_2024/SRe Pregled zrelosti procesa upravljanja IT COBIT 2019 v Zavarovalni skupini Sava;
11) 3_SV_2024/SRe Neformalni svetovalni posli;
12) 1_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami Illyria
13) 2_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami Illyria Life
14) 3_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami SŽO
15) 4_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami SNO
16) 5_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami SO MKD
17) 6_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami SPD MKD
18) 7_SOD_2024/SRe Revizija sistema sklepanja pogodb z revizijskimi družbami SO MNE
19) 8_SOD_2024/SRe Revizija procesa upravljanja IT SŽO
20) 9_SOD_2024/SRe Revizija procesa upravljanja IT SNO
21) 10_SOD_2024/SRe Revizija procesa upravljanja IT SPD MKD
22) 11_SOD_2024/SRe Revizija procesa upravljanja IT SO MKD
23) 12_SOD_2024/SRe Revizija procesa upravljanja IT Illyria
24) 13_SOD_2024/SRe Revizija procesa upravljanja IT Illyria Life
25) 14_SOD_2024/SRe Revizija procesa upravljanja IT SO MNE
26) 15_SOD_2024/SRe Revizija obračuna stroškov dela Illyria
27) 16_SOD_2024/SRe Revizija obračuna stroškov dela SO MNE
28) 17_SOD_2024/SRe Revizija obračuna stroškov dela SŽO
29) 18_SOD_2024/SRe Revizija obračuna stroškov dela SNO
30) 19_SOD_2024/SRe Revizija obračuna stroškov dela SO MKD
31) 20_SOD_2024/SRe Revizija obračuna stroškov dela SPD MKD
32) 21_SOD_2024/SRe Revizija obračuna stroškov dela Illyria Life
33) 22_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe SO MKD
34) 23_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe SPD MKD
35) 24_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe SO MNE
36) 25_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe SŽO
37) 26_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe SNO
38) 27_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe Illyria
39) 28_SOD_2024/SRe Sodelovanje Group Audit odvisne družbe Illyria Life

4 POVZETEK POMEMBNEJŠIH UGOTOVITEV IZVEDENIH REVIZIJSKIH POSLOV

Notranja revizija je na podlagi presoje tveganj vključevala stalen in celovit nadzor nad poslovanjem družbe zaradi preverjanja in ocenjevanja, ali so procesi upravljanja tveganj, kontrolnih postopkov in upravljanja družbe ustrezni ter ali delujejo tako, da se zagotavlja uresničevanje teh pomembnih ciljev družbe:

uspešno in učinkovito poslovanje, vključno z doseganjem ciljev poslovne in finančne uspešnosti, ter varovanje sredstev pred izgubo;
zanesljivo, pravočasno, pregledno notranje in zunanje računovodsko in neračunovodsko poročanje;
skladnost z zakoni in drugimi predpisi ter notranjimi pravili;
upravljanje informacijske tehnologije, ki podpira uresničevanje strategije in ciljev družbe;
ocenjevanje tveganja prevar in način njihovega obravnavanja v družbi.

SNR je tekoče pisno poročala o svojem delu revidiranim osebam, hkrati pa predložila poročila v seznanitev ter ugotovitve in priporočila v sprejetje upravi družbe. Obdobno pa je, na podlagi povratnih informacij odgovornih oseb za izvedbo priporočil, poročala o uresničevanju slednjih upravi, revizijski komisiji in nadzornemu svetu.

Podrobnejši pregled notranjerevizijskih poslov z vsemi ugotovitvami, nepravilnostmi in priporočili je SNR predložila v četrtletnih poročilih upravi, revizijski komisiji in nadzornemu svetu.

SNR ocenjuje ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol skladno s standardom 2410.A1. Skladno z metodologijo Zavarovalne skupine Sava smo uporabljali lestvico za oceno sistema notranjih kontrol:

ZELO DOBER – kontrolni sistem revidiranega poslovnega področja/organizacijske enote je v vseh pogledih zelo dober; vzpostavljene so čvrste notranje kontrole; vse ključne kontrole delujejo in pri tem ni odstopanj. Nadzor je optimalen. Tveganje je zelo majhno. Ni ugotovitev z oceno srednjega ali visokega tveganja.

DOBER – kontrolni sistem je na splošno dober; manjše slabosti lahko odpravi vodstvo poslovne funkcije (področja)/organizacijske enote med poslovnim procesom. Vodstvo dobro obvladuje poslovanje, odgovornosti in pooblastila se v praksi izvajajo. Kjer se pojavijo odstopanja, sledijo takojšnji ukrepi in neprestano izpopolnjevanje postopkov. Nadzor se izvaja redno. Tveganje je majhno. 1–2 ugotovitvi z oceno srednjega tveganja, ni ugotovitev visokega tveganja.

PRIMEREN – kombinacija nekaterih pomanjkljivosti v kontrolnem sistemu, ki jih mora vodstvo poslovnega področja/organizacijske enote čim prej odpraviti. Vodstvo se zaveda potrebnosti spremljave in nadzora, postopki in odgovornosti so okvirno opredeljeni. Nadzor se izvaja občasno. Tveganje je srednje. Večina ugotovitev je z oceno srednjega tveganja.

NI PRIMEREN – resne pomanjkljivosti v kontrolnem sistemu, ki vplivajo na slabitev poslovanja in jih mora vodstvo poslovnega področja/organizacijske enote obvezno takoj odpraviti. Nadzor se ne izvaja po formalno zapisanih postopkih in je prepuščen posameznikom. Tveganje je veliko. Obstajajo ugotovitve visokega tveganja.

NEZADOVOLJIV – visoka stopnja hudih pomanjkljivosti (neusklajenost s predpisi, popolno pomanjkanje kontrol), ki zahtevajo celovito reorganizacijo poslovnega področja/organizacijske enote. Nadzor nad poslovanjem se ne izvaja. Tveganje je zelo veliko.

Kljub navedeni lestvici pa lahko, glede na zahtevano strokovnost in etično delovanje preizkušenega notranjega revizorja, del ocene sistema notranjih kontrol ostane v domeni preizkušenega notranjega revizorja.

V nadaljevanju je naveden kratek povzetek ključnih ugotovitev pregledanih področij v Savi Re (povzetka sodelovanja pri notranjih revizijah odvisnih družbah ne navajamo, ker je to zajeto v letnih poročilih notranje revizije odvisnih družb).

Revizija upravljanja dostopov in sprememb na podatkovnih bazah ASP.ins (1_R_2024/SRe)

Revizija je zajemala pregled upravljanja dostopov in sprememb na podatkovnih bazah ASP.ins. Pri izvedbi revizije smo se oprli na okvir za vodenje in upravljanje informacij in tehnologije COBIT 2019 (COBIT 2019 Framework) v delu, ki se nanaša na upravljanje varnostnih storitev (DSS05 – Managed Security Services) in procese upravljanja servisnih zahtev in incidentov (DSS02 – Managed Service Requests and Incidents).

Podali smo tri priporočila, od tega eno z visokim tveganjem (analitika revizijskih sledi) in dve s srednjim tveganjem (upravljanje privilegiranih uporabnikov in kopija sprotno ažurirane produkcijske baze).

Revizija sistema pooblastil in proces upravljanja morebitnih konfliktov interesa (2_R_2024/SRe)

Revizija je zajemala pregled in oceno ustreznosti sistema pooblastil in procesa upravljanja morebitnih konfliktov interesa.

Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistem notranjih kontrol pri pregledanih procesih revidiranega področja kot PRIMEREN, saj proces upravljanja pooblastil ne zagotavlja preglednost in sledljivost izdanih pooblastil na področju potrjevanja računov v aplikaciji mDocs. Pooblastila za osebe, ki so zadolžene za potrjevanje računov v aplikaciji mDocs niso formalno urejena. Za proces upravljanja morebitnih konfliktov interesa kot DOBER. Za skupno področje podajamo oceno PRIMEREN.

Podali smo štiri priporočila, in sicer dve priporočili z nizkim tveganjem, ki sta vezani na prenovitev Pravilnika o obvladovanju nasprotij interesov in obdobno izvajanje izobraževanja za zaposlene na temo obvladovanja nasprotja interesov preko aplikacije Smart Arena in dve priporočili ssrednjim tveganjem, ki sta vezani na prenovitev Pravilnika o pooblastilih in ureditev celotnega sistema pooblastil in prilagoditev Pravilnika o pooblastilih novemu sistemu pooblastil, kot tudi ostalih povezanih internih aktov.

Revizija sistema sklepanja pogodb z revizijskimi družbami(3_R_2024/SRe)

Revizija je zajemala pregled sistema sklepanja pogodb z revizorskimi družbami ter se letno izvaja glede na zahteve Politike zagotavljanja neodvisnosti revizorja računovodskih izkazov Sava Re, d.d. in Zavarovalne skupine Sava.

Revizija funkcije skladnosti poslovanja in procesa zaščite prijaviteljev (whistleblowing) (4_R_2024/SRe)

Revizija je zajemala pregled in oceno skladnosti in uspešnosti izvajanja ključne funkcije skladnosti ter pregled in ocena ustrezne vzpostavitve procesa zaščite prijaviteljev. Na podlagi izvedenih revizijskih postopkov smo ocenili ustreznost, uspešnost in učinkovitost upravljanja tveganj ter sistema notranjih kontrol pri pregledanih procesih revidiranega področja kot DOBER.

Podali smo enajst priporočil, eno s srednjim, osem z nizkim tveganjem ter dve priložnosti za izboljšave. Priporočila se nanašajo na odpravo predvsem administrativnih zadev tako na področju delovanja funkcije spremljanja skladnosti poslovanja kot tudi na področju vzpostavitve sistema zaščite prijaviteljev ter na vzpostavitev dobre poslovne prakse z uvedbo rednih mesečnih sestankov vseh nosilcev ključne funkcije spremljanja skladnosti poslovanja na nivoju celotne Zavarovalne skupine Sava.

Pregled procesa obračuna stroškov dela na nivoju skupine (7_R_2024/SRe)

Revizija je zajemala pregled in ocena ustreznosti procesa obračuna osebnih prejemkov in potnih nalogov na nivoju Zavarovalne skupine Sava.

Služba notranje revizije Save Re je nudila strokovno podporo pri izvedbah revizijah pregleda procesa obračuna stroškov dela v odvisnih družbah Zavarovalne skupine Sava, ob tem pa izvedla pregled procesa na nivoju skupine in v posameznih družbah podala priporočila. Povzetka pri notranjih revizijah odvisnih družbah ne navajamo, ker je to zajeto v letnih poročilih notranje revizije odvisnih družb

Revizija skladnosti poslovanja s trajnostnimi zahtevami (sodelovanje s funkcijo skladnosti) (8_R_2024/SRe)

Revizija je zajemala pregled skladnosti poslovanja družbe glede na regulatorne zahteve povezane s trajnostnostjo in dobro prakso. Revizija je bila izvedena v sodelovanju s funkcijo skladnosti, ki je izdala svoje poročilo.

Podali smo osem priporočil, od tega tri s srednjim in tri z nizkim tveganjem ter dve priložnosti za izboljšanje poslovanja. Ocenjujemo, da je organiziranost področja ustrezna in upravljanje skupine ter pretok informacij na področju trajnostnega razvoja primeren. Družba ima sprejeto strategijo trajnostnega razvoja, določene strateške cilje in pripadajoče KPI-je, pri čemer ciljne vrednosti nekaterih KPI-jev še niso določene, zato smo podali priporočilo. Priporočali smo tudi, da se izvede ocena stanja doseganja strateških ciljev in v odvisnosti od ocene pripravi akcijske načrte. V zvezi s trajnostnim poročanjem smo podali priporočilo, da družba sprejme interni akt, s katerim bo opredelila izvedbo analize dvojne pomembnosti, ter pregled in dopolnitev GAM-a. V zvezi z upravljanjem na področju trajnostnega razvoja smo podali priporočilo, da nosilka poslovne linije spremlja in zagotovi, da odvisne družbe svoje interne akte uskladijo z v 2024 prenovljeno krovno politiko trajnostnega razvoja. Ugotavljamo, da je družba trajnostna tveganja vključila v svoj proces upravljanja tveganj, prav tako je vzpostavila register priložnosti, povezanih s trajnostjo, pri čemer pa še ni vzpostavljeno sistematično spremljanje realizacije teh priložnosti, zato smo predlagali, da se to vzpostavi.

Revizija procesa upravljanja IT (9_R_2024/SRe)

Revizija je zajemala pregled in oceno zrelosti, uspešnosti in učinkovitosti procesov upravljanja IT, opredeljenih v COBIT 2019 ter follow up predhodne COBIT 2019 revizije. Na podlagi izvedenih

revizijskih postopkov smo revidiran proces ocenili z oceno PRIMEREN.

Podali smo šest priporočil s srednjim tveganjem, ki se nanašajo na upravljanje KPI, popis sredstev, zunanjih izvajalcev in neprekinjenega poslovanja.

Notranje revizijski posel je pokazal napredek pri upoštevanju kontrol, če primerjamo rezultate preverjanja iz 2020, 2021, 2022, 2023 in 2024 pa obstajajo še priložnosti za izboljšanje predvsem na področju spremljanja kakovosti. Na podlagi izvedenega notranjerevizijskega posla menimo, da proces IT upravljanja v SRe še ni na ustrezni ravni za popolno skladnost z zahtevami COBIT 2019 in na vseh področjih še ne dosega nivoja zrelosti kontrol in procesov, ki si ga je SIT zadal.

Neprekinjeno revidiranje – IT (10_R_2024/SRe)

Neprekinjeno revidiranje je zajemalo spodnje aktivnosti skozi celotno leto:

Sodelovanje na sestankih odbora za informacijsko varnost Sava Re;
Sodelovanje na posvetu o IT SEC odboru;
Sodelovanje na mesečnih sestankih s CIO (direktorji IT) ZSS;
Pomoč pri pripravi dokumentacije Varnostne politike glede varnostnih pregledov;
Priprava GAP dokumenta za DORA (pregled dokumentacije in priprava) in sodelovanje/sestanki pri projektu DORA;
Predstavitev standardov RTS (Regulatory Technical Standards) na projektu DORA;
Sodelovanje z nosilcem poslovne linije IT Matjažem Stražišarjem pri vprašalniku DORA Vita;
Spremljanje projekta CORE Sava Re (SAP), sestanki projektne skupine;
Pregled realizacije priporočil revizij s področja IT;
Pregled priporočil zunanje revizije;
Pregled aplikacij pri non IT revizijah;
Spremljanje predstavitve 2bSecure Veriti (varnostna platforma, ki pokriva vse naprave);
Pregledi izvedenih varnostnih analiz in penetracijskih testov.

Podano je eno priporočilo s srednjim tveganjem, da se v SysAid vzpostavijo zahtevki, ki bodo omogočali periodično opozarjanje na izvedbo pregleda pravic skladno z izbranimi intervali.

5 PREGLED URESNIČITVE PRIPOROČIL ZA ODPRAVO POMANJKLJIVOSTI IN NEPRAVILNOSTI

SNR obdobno poroča o stanju izvedbe priporočil oziroma predlogov, danih na podlagi ugotovljenih nepravilnosti ali pomanjkljivosti. Med 1. 1. in 31. 12. 2024 smo spremljali 68 priporočil. Na podlagi opravljenih notranjerevizijskih pregledov smo v letu 2024 predlagali 35 priporočil.

V družbi je od 68 priporočil uresničenih 42 priporočil (od tega evidentirano 5 priložnosti za izboljšave procesov), 17 priporočilom še ni zapadel rok uresničitve, 9 priporočil pa ima rok podaljšan. Delež uresničenih zapadlih priporočil na dan 31. 12. 2024 je bil 100-odstoten, delež uresničitve vseh priporočil pa 81-odstoten.

6 ZAPOSLENI, IZOBRAŽEVANJE IN DRUGE DEJAVNOSTI

Kadrovska struktura SNR je v letu 2024 obsegala enajst zaposlenih. Od teh jih ima šest pridobljen naziv preizkušeni notranji revizor, eden CIA, dva pa sta preizkušena revizorja informacijskih sistemov. Trije zaposleni so dodatno v postopku pridobivanja naziva preizkušeni notranji revizor. Zaposleni imajo tudi licence: CISA, CRISC, CISM, CSX, COBIT Foundation, vodilni presojevalec ISO 9001, ISO 22301, ISO/IEC 27001, 27017, 27018, ISO/IEC 20000, PCI DSS ASV, PCI DSS QSAVP, EIDAS, NPK Varnostni manager, WLA, EL RGS, ZVDAGA, VP ENTSO-E, preizkušeni računovodja javnega sektorja, preizkušeni državni notranji revizor, notranji presojevalec ISO 9001, ISO 14001, ISO 18001, ISO 45000 in IIA Quality Assessment.

Menim, da število in struktura oseb v SNR praviloma omogoča ustrezno izpolnitev načrtovanih dejavnosti, če ni daljših nenačrtovanih odsotnosti in/ali povečanega nenačrtovanega obsega dela. Funkcija notranje revizije je v letu 2024 pokrila vsa ključna tveganja in ni bila kakor koli omejena (kadrovsko, tehnično, materialno ipd.) pri izvajanju nalog funkcije notranje revizije.

Zaposleni v SNR smo se v letu 2024 udeležili izobraževanj z različnih področij. Poleg izobraževanj v organizaciji Slovenskega inštituta za revizijo, ISACA, IIA Slovenija in ostalih mednarodnih IIA združenj, SDH, SZZ, AZN, ZBS, notranjih internih izobraževanj z različnih področij, trajnosti, IT dela, skladnosti in notranje revizije ter mednarodnih WEB-seminarjev redno spremljamo tudi aktualne članke z notranjerevizijskega, (po)zavarovalniškega, računovodskega, finančnega, davčnega in trajnostnega področja. Prav tako je bila uspešno izvedena delavnica notranjih revizorjev Zavarovalne skupine Sava v okviru Konference Zavarovalne skupine Sava: Notranja revizija, nabava, skladnost, DPO in IT z rdečo nitjo Umetna Inteligenca.

V letu 2024 je SNR pripravila Letni načrt dela SNR za leto 2025, Strategijo dela SNR za obdobje 2025- 2027, 4 četrtletna poročila o notranjem revidiranju za obdobja oktober–december 2023, januar–marec 2024, april–junij 2024 in julij–september 2024 ter letno poročilo za leto 2023.

Direktorica SNR je sodelovala na sejah uprave, revizijske komisije in nadzornega sveta, sejah odbora za upravljanje tveganj in na kolegijih družbe. Poslovanje se je spremljalo tudi s pregledom gradiva sej uprave, gradiva odbora za upravljanje tveganj in gradiva kolegijev družbe. V druge dejavnosti je vključeno tudi vodenje službe. Z zaposlenimi so bili izvedeni letni razgovori in opredelitev osebnih ciljev za 2024/25 ter skozi leto ocena dela zaposlenih v SNR.

SNR je sodelovala pri rednih četrtletnih ocenah tveganj na ravni Zavarovalne skupine Sava in družbe Sava Re, pripravila pa je tudi notranjerevizijski prispevek k poročanju SFCR in RSR. Prav tako je sodelovala pri načrtovanju za leto 2025 v delu, ki se nanaša na SNR, ter pri pripravi letnega poročila Zavarovalne skupine Sava v delu, ki se nanaša na SNR.

Sodelovanje z zunanjim revizorjem je bilo povezano z usklajevanjem dela zunanjih revizorjev in spremljanjem ugotovitev po predhodni in zaključni reviziji ter z dejavno udeležbo na skupnih sestankih.

Z razvojem SNR so se v 2024 še izpopolnile aktivnosti v povezavi z izvajanjem programske podpore celovitemu procesu notranjega revidiranja (izpopolnjevanje programske podpore K10) na ravni Zavarovalne skupine Sava. Dopolnili smo tudi metodologijo neprekinjenega revidiranja, ki ga izvajamo od leta 2021. Od leta 2021 je uvedena notranja revizija skupine (Group Internal Audit) v vseh družbah Zavarovalne skupine Sava, ki smo jo v letu 2024 še izboljševali.

Politika notranje revizije je bila posodobljena konec leta 2024 z datumom začetka uporabe 1.1.2025. Glede na morebitne dodatna strokovna pojasnila glede na nove Globalne standarde notranjega

revidiranja™, ki so začeli veljati 9.1.2025 bomo do konca leta 2025 Politiko notranje revizije ponovno pregledali in jo po potrebi ustrezno prilagodili.

SNR je dajala strokovno pomoč notranjim revizorjem odvisnih družb pri metodologiji, pri izpopolnjevanju delovnih programov za posamezne notranjerevizijske posle, pri izvajanju programske podpore celovitemu procesu notranjega revidiranja in pri uvajanju novih sodelavcev v odvisnih družbah. Minimalno mesečno so se sestajali vsi notranji revizorji v skupini, dejavno pa je bilo tudi sodelovanje med nosilci vseh ključnih funkcij družbe in skupine.

7 PROGRAM ZAGOTAVLJANJA IN IZBOLJŠEVANJA KAKOVOSTI DELOVANJA SNR

Program kakovosti za zagotavljanje in izboljševanje kakovosti delovanja notranje revizijske dejavnosti se razvija in vzdržuje kot stalna aktivnost. Program vključuje obdobne notranje samoocenitve, zunanje ocene kvalitete ter tekoče nadziranje in ocenjevanje kvalitete dela.

Zunanjo presojo kakovosti notranje revizije v družbi je v letu 2024 izvedla družba BDO Revizija d.o.o. Na osnovi izvedenih postopkov pri zunanji ocenitvi delovanja notranje revizije je zunanja presoja potrdila skladno delovanje notranje revizije (glede na BDO lestvico najvišjo oceno skladnosti: pretežno skladno) v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjega revizorja in Kodeksom notranjerevizijskih načel. Skladno z zahtevami standardov je SNR tudi opravila presojo kakovosti svojega delovanja – redno letno samoocenitev delovanja. O izidih tega programa direktor SNR poroča upravi in revizijski komisiji nadzornega sveta. Izidi so pokazali, da je delovanje SNR skladno z opredelitvijo notranjega revidiranja, standardi in kodeksom etike. Program zagotavljanja in izboljševanja kakovosti delovanja SNR smo skladno s smernicami notranjega revidiranja dopolnili z izjavami o skladnosti delovanja notranjega revizorja s standardi in kodeksom etike ter o razkritju in izogibanju nasprotja interesov.

V letu 2025 bomo v okviru mesečnih razvojnih sestankov v okviru SNR Zavarovalne skupine Sava, dogovorili in pripravili posodobljeno metodologijo Programa zagotavljanja in izboljševanja kakovosti (PZIK) v skladu z novimi Globalnimi standardi notranjega revidiranja (GIAS) ter priročnikom za ocenjevanje kakovosti (Quality Assessment Manual 2024). Sočasno bomo izvedli tudi posodobitev Priročnika notranje revizije, pri čemer bomo pregledali s strani BDO predlagane možnosti za izboljšave in tam, kjer bo smiselno oziroma kjer to zahtevajo novi standardi GIAS, izvedli ustrezne prilagoditve.

Nadaljevali smo aktivnosti za izboljšave in dopolnjevanja metodologije dela predvsem iz vidika nadaljnjega razvoja notranjerevizijskega procesa z notranjerevizijsko aplikacijo, celovitega mnenja ter neprekinjenega revidiranja glavnih procesov. Prav tako smo posodobili Politiko notranje revizije ter Priročnik notranje revizije.

Po vsaki opravljeni reviziji je bil revidirancem posredovan vprašalnik s katerim spremljamo zadovoljstvo revidirancev z opravljenim revizijskim pregledom. Na splošno so revidiranci zadovoljni z delom notranje revizije, občasno podajo tudi pripombe in predloge, kaj pričakujejo od SNR v prihodnje. Povprečje vseh ocen po vseh prejetih vprašalnikih je 3,76 od maksimalne ocene 4.

V začetku leta 2025 smo upravi, članom revizijske komisije nadzornega sveta in članom nadzornega sveta poslali vprašalnik o zadovoljstvu z notranjo revizijo (za model zrelosti notranje revizije). Povprečje vseh ocen glede na vrnjene vprašalnike je 3,95 od najvišje ocene 4. Uprava vidi notranjo revizijo kot pomemben člen pri obvladovanju tveganj v družbi in meni, da je pomemben tudi vpliv notranje revizije v družbi. Odgovori iz vprašalnika predstavljajo pomembno vhodno informacijo pri sestavi Programa kakovosti za zagotavljanje in izboljševanje kakovosti delovanja notranje revizijske dejavnosti. V decembru 2024 so člani revizijske komisije nadzornega sveta in nosilka ključne funkcije notranje revizije na seji Revizijske komisije imeli neodvisen letni razgovor brez prisotnosti uprave. Nosilka ključne funkcije notranje revizije je prisotna na vseh sejah revizijske komisije in imajo člani revizijske komisije tako več možnosti neodvisnega razgovora z nosilko.

V marcu 2025 smo izdelali in poslali revizijski komisiji Program zagotavljanja in izboljševanja kakovosti delovanja notranjerevizijske dejavnosti v Savi Re, d.d., s samooceno delovanja za leto 2024. Po seznamu za preverjanje notranjerevizijske neodvisnosti nismo pri nobeni reviziji ugotovili, da bi bila naša neodvisnost kršena ali ovirana. SNR je v letnem načrtu dela predvidela tudi merjenje uspešnosti delovanja notranje revizije. Hkrati spremlja uresničevanje priporočil, ki jih je predlagala upravi. V letu 2024 so bila vsa predlagana priporočila sprejeta s sklepi uprave in predložena v izvajanje odgovornim osebam.

Kot direktorica SNR menim, da je bilo delovanje SNR v letu 2024 skladno s standardi in da smo letni načrt dela izvedli zelo uspešno.

Direktorica SNR in nosilka funkcije notranje revizije Polonca Jug Mauko

Priloga 1: Slovar

Kratica	Pomen
ASP.ins	Aplikacija za podporo zavarovalnim procesom v hčerinskih družbah Save Re
CFE	Certified Fraud Examiner
CIA	Certified Internal Auditor
CISA	Certified Information System Auditor, certificirani revizor informacijskih sistemov (nadgrajeno pri Slovenskem inštitutu za revizijo – certifikat PRIS – preizkušeni revizor informacijskih sistemov)
CISM	Certified Information Security Manager, certificirani upravljavec informacijske varnosti (s tem znanjem se postane t. i. CISO oziroma vodja informacijske varnosti)
COBIT 2019	Okvir za vodenje in upravljanje informacij in tehnologije
CORE ERP/sistemi	Programska rešitev za ključni poslovni proces družbe
CRISC	Certified in Risk and Information Systems Control.
EIDAS	UREDBA (EU) št. 910/2014 EVROPSKEGA PARLAMENTA IN SVETA z dne 23. julija 2014 o elektronski identifikaciji in storitvah zaupanja za elektronske transakcije na notranjem trgu in o razveljavitvi Direktive 999/93/ES
EU	Evropska unija
IIA	The Institute of Internal Auditors
ISACA Slovenija	Slovensko društvo za nadzor in preverjanje informacijskih sistemov
ISO 14001	Mednarodni standard za sisteme ravnanja z okoljem, ki zajema obvladovanje okoljskih vidikov proizvodne ali storitvene dejavnosti (Environmental management system, sistem upravljanja okolja)
ISO 22301	Sistem neprekinjenega poslovanja (Business continuity management system)
ISO 45000	Sistem vodenja varnosti in zdravja pri delu (Occupational health and safety management system)
ISO 9001	Sistem vodenja kakovosti (Quality management system)
ISO/IEC 20000	Sistem upravljanja storitev IT (Service management system)
ISO/IEC 27001, 27018	Sistem varovanja informacij, sistem varovanja podatkov v javnih oblakih (Information security management systems, Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors)
IT	Informacijska tehnologija
	Microsoft Teams – aplikacija Microsofta za sporazumevanje (sestanki, klici, videoklici, sporočila, deljenje zaslona
MS Teams	ipd.)
MSRP/IFRS	Mednarodni standardi računovodskega poročanja (International Financial Reporting Standards)
NR	Notranja revizija
NS	Nadzorni svet
P2P	Izobraževanja peer to peer znotraj Save Re
PCI DSS ASV	Preverjanje ranljivosti informacijskih sistemov po standardu PCI DSS (Payment Card Industry Data Security Standard Automatic Scanning Vendor)
PCI DSS QSA	Preverjeni revizor varovanja informacij po standardu PCI DSS (Payment Card Industry Data Security Standard Qualified Security Auditor)
PJM	Polonca Jug Mauko
POR	Poročilo
Q4	Oznaka za četrtletje – Q4 pomeni četrto četrtletje
RK	Revizijska komisija
SIMCORP	Programska podpora za integrirani sistem upravljanja naložb, boljše naložbene odločitve in pregled nad celotnim poslovanjem v enem sistemu – tudi SimCorp
SNR	Služba notranje revizije
SOC	Security operations center
x_F_201x/družba	Oznaka revizije – follow up – ponovna revizija
x_R_201x/družba	Oznaka revizije – redna revizija
x_SOD_201x/družba	Oznaka revizije – svetovanje/sodelovanje pri reviziji v odvisni družbi
x_SV_201x/družba	Oznaka revizije – svetovalni posel
ZISDU-3	Zakon o investicijskih skladih in družbah za upravljanje
ZZavar-1	Zakon o zavarovalništvu
	Družbe Zavarovalne skupine Sava
SRe	Sava Re
ZS	Zavarovalnica Sava
SPD	Sava pokojninska družba
SIn	Sava Infond
SPDMKD	Sava penzisko društvo, Severna Makedonija
SNOSr	Sava neživotno osiguranje Beograd
SŽOSr	Sava životno osiguranje Beograd
SOMKD	Sava osiguruvanje Skopje, Severna Makedonija
SOMNE	Sava osiguranje Podgorica, Črna gora
Illy	Illyria Priština
ILife	Illyria Life Priština
TBS	TBS TEAM 24 d.o.o.
Vita	Vita, življenjska zavarovalnica, d.d.

MNENJE NADZORNEGA SVETA K LETNEMU POROČILU SLUŽBE NOTRANJE REVIZIJE O NOTRANJEM REVIDIRANJU ZA LETO 2024

V letu 2024 je Služba notranje revizije Save Re (v nadaljevanju SNR) opravljala revizijske posle na področjih, opredeljenih v Letnem načrtu dela SNR za leto 2024.

Revizijski cilji, ki jih je SNR izpolnjevala pri svojem delu, so bili usmerjeni k preverjanju ustreznosti in učinkovitosti postopkov upravljanja tveganj ter uspešnosti in učinkovitosti delovanja kontrolnih postopkov na pomembnejših odsekih poslovanja in upravljanja pozavarovalnice. SNR je preverjala primernost notranjih kontrol, ki preprečujejo verjetnost nastanka prevar, in morebitno ranljivost informacijske podpore poslovanju.

V letu 2024 je bilo izvedenih 39 notranjerevizijskih poslov v družbi Sava Re in odvisnih družbah, pri čemer je SNR sodelovala pri revizijah v več družbah in na podlagi opravljenih poslov v družbi Sava Re predlagala 35 priporočil. Nadzorni svet ugotavlja, da je SNR delovala skladno z usmeritvami nadzornega sveta in uprave družbe ter s svojimi priporočili pomembno prispevala k obvladovanju tveganj v delovanju Save Re in skupine.

Na podlagi vseh opravljenih preizkusov in uporabljenih metod po posameznih področjih revidiranja SNR meni, da so notranje kontrole v Savi Re ustrezne in da je stopnja zanesljivosti njihovega delovanja dobra. Meni tudi, da je bilo upravljanje Save Re ustrezno in da se še nenehno izboljšuje z namenom doseganja pomembnih ciljev poslovanja ter da družba uspešno upravlja tveganja, pri čemer želi zagotoviti uspešno in gospodarno poslovanje. Po mnenju SNR pa še obstajajo priložnosti za izpopolnitev delovanja sistema notranjih kontrol. Pri opravljenih revizijskih poslih so bile ugotovljene posamezne nepravilnosti in pomanjkljivosti, na katere je SNR opozorila in h katerim je dala priporočila za odpravo, zato da se kontrolni postopki ter upravljanje družbe in tveganj izboljšajo. Uprava družbe se zaveda možnih vplivov ugotovljenih kršitev, nepravilnosti in pomanjkljivosti na doseganje ključnih ciljev družbe, zato sprejema ustrezne ukrepe oziroma si prizadeva, da bi te kršitve, nepravilnosti in pomanjkljivosti odpravila. Navedeno vodi k večji učinkovitosti delovanja notranjih kontrol in urejenosti poslovanja.

Uspešnost in učinkovitost delovanja SNR so člani nadzornega sveta spremljali v četrtletnih poročilih in letnem poročilu o delu SNR. Seznanjeni so bili s povzetki opravljene notranje presoje delovanja SNR. Zunanjo presojo kakovosti notranje revizije v družbi je v letu 2024 izvedla družba BDO Revizija d.o.o. Na osnovi izvedenih postopkov pri zunanji ocenitvi delovanja notranje revizije je zunanja presoja potrdila skladno delovanje notranje revizije (glede na BDO lestvico najvišjo oceno skladnosti: pretežno skladno) v skladu z Mednarodnimi standardi strokovnega ravnanja pri notranjem revidiranju, Kodeksom poklicne etike notranjega revizorja in Kodeksom notranjerevizijskih načel.

Nadzorni svet na podlagi navedenega daje pozitivno mnenje k letnemu poročilu SNR o notranjem revidiranju za leto 2024.

V Ljubljani, 3. 4. 2025

Nadzorni svet Save Re, d.d. predsednik Davor Ivan Gjivoje jr.

AI Terminal

Pozavarovalnica Sava

1987_rns_2025-04-10_a5a2fe48-0749-4a11-8a86-0b47ede0147b.pdf