Računsko sodišče je revidiralo učinkovitost in uspešnost upravljanja pogodb z zunanjimi izvajalci za vzdrževanje in nadgrajevanje informacijskega sistema Carinske uprave Republike Slovenije in učinkovitost delovanja informacijskega sistema Carinske uprave Republike Slovenije v delu, ki se nanaša na podporo izvajanju trošarinskih postopkov, v obdobju od 1. 1. 2010 do 13. 9. 2013.

Računsko sodišče je ugotovilo, da Carinska uprava Republike Slovenije ni bila učinkovita in uspešna pri upravljanju pogodb za vzdrževanje in nadgrajevanje informacijskega sistema z zunanjimi izvajalci. Prav tako ni zagotovila učinkovitega delovanja informacijskega sistema v delu, ki se nanaša na podporo izvajanju trošarinskih postopkov v Republiki Sloveniji.

Pri preverjanju učinkovitosti upravljanja pogodb za vzdrževanje in nadgrajevanje informacijskega sistema z zunanjimi izvajalci je računsko sodišče ugotovilo, da je Carinska uprava Republike Slovenije pripravila investicijsko dokumentacijo za načrtovane investicije tako, da za predlagane rešitve ni mogoče preveriti, če so bile izvedene v celoti oziroma če je bila njihova izvedba ustrezna ter če so bili doseženi cilji investicije. Naročanje storitev za vzdrževanje in nadgradnjo informacijskih sistemov ni bilo vedno v skladu z zakonodajo, saj je z Okvirnim sporazumom o izvajanju storitev zagotavljanja delovanja, vzdrževanja in nadgradnje carinskega informacijskega sistema (v nadaljevanju: okvirni sporazum SICIS) naročala tudi razvoj novih modulov informacijskega sistema SICIS. Carinska uprava Republike Slovenije je v razpisni dokumentaciji SICIS zapisala zahteve glede kadrov. Ponudba izbranega ponudnika ni izpolnjevala vseh razpisanih pogojev, zato bi jo Carinska uprava Republike Slovenije v skladu z 80. členom Zakona o javnem naročanju morala izločiti kot nepopolno. Kadrovskih zahtev iz razpisne dokumentacije ni upoštevala niti v fazi izvajanja okvirnega sporazuma SICIS. Tako so predstavljali kadrovski pogoji v razpisni dokumentaciji le omejitev za podjetja, ki bi lahko sodelovala v javnem razpisu, ne pa njenih dejanskih potreb. Carinska uprava Republike Slovenije v razpisni dokumentaciji in v okviru priprave zahtevkov za nadgradnjo in vzdrževanje informacijskega sistema ni posebej opredelila varnostnih zahtev za informacijske rešitve. 

Carinska uprava Republike Slovenije je za vodenje poslovnih knjig na področju pobiranja obveznih dajatev do 24. 6. 2013 uporabljala dva informacijska sistema in obema zunanjima izvajalcema plačevala izvedbo storitev. Zato podatki glavne knjige in podatki o pobranih javnofinančnih prihodkih niso bili zbrani na enem mestu, temveč jih je morala pri poročanju ročno seštevati. Naročila je povsem novo aplikacijo za informacijsko podporo izterjavi nedavčnih denarnih terjatev države in samoupravnih lokalnih skupnosti (e-Izvršbe), vendar je v nasprotju z Zakonom o javnem naročanju k oddaji ponudbe pozvala le obstoječa zunanja izvajalca. Skrbniki pogodb svojega dela niso opravljali učinkovito, saj so potrjevali obračune del, čeprav izvajalec ni predal vseh zahtevanih izdelkov.

Pri preveritvi uspešnosti upravljanja pogodb za vzdrževanje in nadgrajevanje z zunanjimi izvajalci je računsko sodišče ugotovilo, da Carinska uprava Republike Slovenije ni nedvoumno opredelila ločitve med storitvami vzdrževanja in storitvami nadgradnje informacijskega sistema ter tudi po poročilih na podlagi svetovalne pogodbe ni sprejela ustreznih meril za oceno ustreznosti predlaganega obsega ur zunanjega izvajalca za posamezno nalogo. Carinska uprava Republike Slovenije je naročala tudi pripravo specifikacij uporabniških zahtev, ki bi jih morala znati opredeliti sama, dobav zunanjega izvajalca pa ni ustrezno preverjala, saj je plačevala tudi za storitve, ki niso bile opravljene v celoti ali pa sploh niso bile opravljene. Naročala je storitve, ki niso sodile v predmet pogodbe, pa tudi storitve, ki za izvajanje njenih nalog niso bile potrebne, nekatere storitve pa je naročala večkrat.

V okviru izvajanja projekta e-Izvršbe je Carinska uprava Republike Slovenije potrdila in plačala izvedbo vseh faz, čeprav predvidena dela še niso bila izvedena v celoti, prevzela pa ga je več kot leto dni po predvidenem roku in plačala dodatno še 31.976 evrov.

Carinska uprava Republike Slovenije ni naročala izvedbe stresnih testov, s katerimi bi lahko preverila delovanje informacijskega sistema pod obremenitvijo. Zaradi preobremenjenosti strežnikov je v okviru svetovalne pogodbe naročila performančno optimiziranje SICIS aplikacij. Med pričakovanimi izdelki tega naročila so bili tudi pisni napotki izvajalcu za ukrepanje, čeprav se je moral izvajalec samostojno usposobiti za izvajanje vseh storitev iz predmeta okvirnega sporazuma SICIS.

Carinska uprava Republike Slovenije ni imela vzpostavljenih oziroma privzetih standardov kakovosti. Ni pripravila ocene tveganj in na njej temelječega načrta za neprekinjeno poslovanje, v pripravljenih dokumentih je bilo opisano izvajanje ročnih postopkov z uporabo papirnih dokumentov. Storitve zagotavljanja delovanja informacijskih sistemov, ki predstavljajo le del procesa neprekinjenega poslovanja, so za Carinsko upravo Republike Slovenije izvajali zunanji izvajalci, v določenem delu tudi brez vnaprejšnjega soglasja naročnika. O svojem delu je zunanji izvajalec sicer moral poročati, vendar pa Carinska uprava Republike Slovenije ni zagotovila revizijske sledi oziroma ni imela nadzornega sistema za preveritev izvedenih sprememb.

Pri preveritvi učinkovitosti delovanja trošarinske aplikacije je računsko sodišče ugotovilo, da Carinska uprava Republike Slovenije ni pripravila analize potrebnih sprememb trošarinske aplikacije, ki bi omogočila učinkovito podporo delu zaposlenih, ampak je naročala le parcialne zahteve za spremembe informacijskega sistema z majhnim obsegom ur, ki jih ni podrobneje opredelila. Trošarinska aplikacija podpira le vnos posameznih trošarinskih dokumentov, ne omogoča pa pregleda celotnega poslovnega dogodka niti elektronskega vlaganja dokumentov. Carinska uprava Republike Slovenije nima izvorne kode za trošarinsko aplikacijo, celovitih uporabniških navodil in tehnične dokumentacije za trošarinsko aplikacijo, v katerih bi bila vključena tudi navodila za nameščanje programske opreme. Med uporabniki trošarinske aplikacije je bil tudi zunanji izvajalec, ki je imel tudi pravico brisanja zapisov v podatkovni zbirki brez zagotovljene sledljivosti izvedenih postopkov v podatkovni zbirki. Zaradi nenadzorovanih posegov v podatkovni zbirki je prihajalo do nekonsistentnosti podatkov, obstaja pa tudi tveganje za nepooblaščene popravke podatkov.

Za vgrajene kontrole v trošarinsko aplikacijo je Carinska uprava Republike Slovenije naročala občasni umik delovanja, tako da niso vedno delovale.

Računsko sodišče je od Carinske uprave Republike Slovenije zahtevalo predložitev odzivnega poročila, v katerem mora izkazati ustrezne popravljalne ukrepe glede izdelave celovite analize potrebnih sprememb trošarinske aplikacije, opredelitve postopkov nameščanja programske opreme v produkcijsko okolje in zagotavljanja revizijske sledi za spremembe v podatkih. Računsko sodišče je Carinski upravi Republike Slovenije podalo tudi več priporočil za izboljšanje uspešnosti in učinkovitosti upravljanja pogodb za vzdrževanje in nadgrajevanje z zunanjimi izvajalci.