Računsko sodišče je izvedlo revizijo učinkovitosti Državne volilne komisije pri pridobivanju in uporabi informacijske podpore za izvajanje nalog v obdobju od 1. 1. 2012 do 31. 8. 2017 (v nadaljevanju: obdobje, na katero se nanaša revizija). Računsko sodišče je izreklo mnenje, da v obdobju, na katero se nanaša revizija, Državna volilna komisija (v nadaljevanju: DVK) ni bila učinkovita.
DVK ni vpeljala enovite informacijske podpore, s katero bi pocenila, poenostavila ter izboljšala informacijsko podporo volilnim in referendumskim opravilom, pridobila materialne avtorske pravice, vzdrževala informacijsko podporo le z enim vzdrževalcem ter poenotila tehnološko infrastrukturo. To je računsko sodišče ugotovilo že v revizijskem poročilu Pravilnost poslovanja nevladnih in pravosodnih proračunskih uporabnikov za leto 2011, izdanem v letu 2014, poleg tega je bilo na to opozorjeno tudi v letu 2015 z notranjo revizijo, ki jo je izvedla Skupna notranja revizijska služba Generalnega sekretariata Vlade Republike Slovenije. DVK je v letu 2012 uvedla projekt za enotni program informacijske podpore volitev in referendumov, vendar ga je po 30 mesecih neuspešno zaključila brez izbire izvajalca. Namesto tega so informacijsko podporo za posamezno rešitev še naprej zagotavljali vedno isti trije izvajalci, vendar vsak svojo rešitev. Izvajalce je vedno predlagala ista strokovna komisija, ki je bila do 11. 4. 2017 nespremenjena in sestavljena izključno iz uslužbencev drugih državnih organov. DVK je na predlog strokovne komisije povabilo k oddaji ponudbe vztrajno pošiljala ponudnikom, ki ji niti enkrat niso posredovali ponudbe za posamezno informacijsko rešitev, nikoli pa ni razširila kroga ponudnikov v skladu z načelom transparentnosti in načelom zagotavljanja konkurence med ponudniki. V obdobju, na katero se nanaša revizija, je bilo izvedenih šest volitev oziroma referendumov, za katere je DVK za informacijsko podporo porabila 2.173.317 evrov.
DVK ni načrtovala razvoja informacijske tehnologije, prav tako na tem področju ni sprejela posebne strategije. DVK tudi ni imela vpeljanega procesa upravljanja sprememb na področju informacijske podpore in ni vzpostavila sistema zagotavljanja kakovosti na področju informacijske podpore. DVK ni imela ustreznega testnega okolja, ustrezne metodologije in postopkov za izvajanje uporabniškega sprejemnega testiranja.
Na področju zaščite in varovanja informacij je DVK vzpostavila le najbolj osnovne elemente, največje neustrezno obvladovano tveganje pa je predstavljala možnost nerazpoložljivosti informacijske podpore v času volitev ali referenduma, saj DVK ni imela načrta neprekinjenega poslovanja in tudi ni imela podvojenih informacijskih sredstev na rezervni lokaciji. DVK niti ni imela metodologije ocenjevanja tveganj in dokumentiranega postopka za upravljanje sprememb informacijskih sistemov, vključno z načinom testiranja sprememb in njihovim prenosom v produkcijsko okolje. DVK ni imela postopka razreševanja varnostnih incidentov.
Neustrezno obvladovano tveganje je predstavljal tudi neposreden in skupinski dostop razvijalcev do produkcijskega okolja, saj DVK v svoji informacijski podpori ni zagotavljala revizijskih sledi, ki bi omogočile pregled kdo, kdaj, kaj in zakaj je obdeloval podatke. DVK v pogodbe z zunanjimi izvajalci, ki so obdelovali osebne podatke, ni vključila ustreznih elementov zaščite in varovanja informacij ter ni opredelila odgovornosti.
DVK uporablja informacijsko podporo volilnim in referendumskim opravilom le kot pomoč pri izvedbi volilnih in referendumskih opravil ter prikazu neuradnih rezultatov. Pravilnost delovanja informacijske podpore oziroma razkrite pomanjkljivosti kontrol informacijske podpore nimajo vpliva na pravilnost izvedbe glasovanja in pravilnost rezultatov volitev in referendumov.
Računsko sodišče je od DVK zahtevalo predložitev odzivnega poročila, v katerem mora izkazati popravljalne ukrepe, in podalo priporočila za izboljšanje stanja.
