BMF-IIA3-20181002-H-05-01-2-KF-008-A042.htm

Zum Hauptdokument : Allgemeine Verwaltungsvorschriften zur Bundeshaushaltsordnung (VV-BHO)

Anlage zur VV Nr. 6.1 ZBR BHO
(Anlage 1 zur VV-ZBR BHO)

Grundsätze ordnungsgemäßer
Buchführung bei Einsatz
automatisierter Verfahren im
Haushalts-, Kassen- und Rechnungswesen des Bundes
(GoBIT-HKR)

- Stand 01/2017 -

Inhaltsverzeichnis

1 

Anwendungsbereich

1.1

Automatisiertes Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (HKR-Verfahren)

Die Haushaltsmittel des Bundes sind in dem vom Bundesministerium der Finanzen zugelassenen HKR-Verfahren zu bewirtschaften. Dazu gehören auch Subsysteme, deren Buchungsergebnisse ggf. verdichtet automatisiert ins HKR-Verfahren übertragen werden. Die Bewirtschaftung von Haushaltsmitteln umfasst alle Maßnahmen zur Mittelverteilung und Mittelverwendung sowie die erforderlichen Buchungen. Maßnahmen der Mittelverwendung sind insbesondere die Festlegung von Haushaltsmitteln und die Leistung oder Annahme von Zahlungen.

1.2

Andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

Stellen, die Bundesmittel bewirtschaften, können zur Berechnung und Festsetzung von Zahlungen, zur Erstellung von begründenden Unterlagen und Kassenanordnungen oder zur Zahlbarmachung andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes einsetzen.

2 

Verantwortlichkeit der obersten Bundesbehörden

Für die Einhaltung der nachfolgenden Bestimmungen für den Einsatz eines Verfahrens nach Nr. 1.2 ist die oberste Bundesbehörde verantwortlich, in deren Geschäftsbereich das Verfahren eingesetzt wird. Sie hat das Nähere zu regeln, damit die Verantwortlichkeiten sichergestellt sind. Dies gilt auch bei einer teilweisen oder vollständigen organisatorischen und technischen Auslagerung der Buchführung und Rechnungslegung, einschließlich der Aufbewahrung, auf Stellen außerhalb der Bundesverwaltung. Die Verantwortlichkeit beinhaltet die Gewährleistung der Ordnungsmäßigkeit der Unterlagen einschließlich der eingesetzten Verfahren. Werden Haushaltsmittel des Bundes durch Landes- oder Kommunaldienststellen bewirtschaftet, ist auch das zuständige Landesministerium im Rahmen seiner Fachaufsicht zu beteiligen.

3 

Allgemeine Anforderungen

Neben den rechtlichen Grundsätzen gem. VV Nr. 6 ist die Sicherstellung und Einhaltung nachfolgender allgemeiner Anforderungen Voraussetzung für die Ordnungsmäßigkeit eines IT-gestützten Buchführungs- und Rechnungslegungssystems.

3.1

Vertraulichkeit

Vertraulichkeit verlangt, dass Daten nicht unberechtigt weitergegeben oder veröffentlicht werden.

3.2

Integrität

Integrität von automatisierten Verfahren ist gegeben, wenn die Daten und die IT-Infrastruktur sowie die IT-Anwendungen vollständig und richtig zur Verfügung stehen und vor Manipulation und ungewollten oder fehlerhaften Änderungen geschützt sind. Organisatorische Maßnahmen sind geeignete Test- und Freigabeverfahren. Die Ordnungsmäßigkeit der IT-gestützten Rechnungslegung setzt voraus, dass neben den Daten und IT-Anwendungen auch die IT-Infrastruktur nur in einem festgelegten Zustand eingesetzt wird und nur autorisierte Änderungen zugelassen werden.

3.3

Verfügbarkeit

Verfügbarkeit verlangt zum einen, dass die zuständige Stelle zur Aufrechterhaltung des Dienstbetriebs die erforderliche Nutzung der IT-Infrastruktur, der IT-Anwendungen mit den Daten und der IT-Organisation gewährleistet. Zum anderen sind Maßnahmen zur Sicherung der Verfügbarkeit erforderlich, um den Anforderungen nach Lesbarmachung der Buchführung gerecht zu werden.

3.4

Autorisierung

Autorisierung bedeutet, dass nur im Voraus festgelegte Personen (autorisierte Personen) und andere automatisierte Verfahren auf Daten zugreifen und die für das automatisierte Verfahren definierten Rechte wahrnehmen dürfen. Diese Rechte betreffen insbesondere das Lesen, Erfassen, Ändern und Löschen von Daten oder die Administration eines automatisierten Verfahrens. Dadurch soll ausschließlich die genehmigte Abbildung von Geschäftsvorfällen im Verfahren gewährleistet werden. Geeignete Verfahren hierfür sind physische und logische Zugriffsschutzmaßnahmen. Organisatorische Regelungen und technische Systeme zum Zugriffsschutz sind die Voraussetzung zur Umsetzung der erforderlichen Funktionstrennungen.

3.5

Authentizität

Authentizität ist gegeben, wenn die in das automatisierte Verfahren eingestellten Daten eines Geschäftsvorfalles einem Verursacher eindeutig zuzuordnen ist.

3.6

Verbindlichkeit

Verbindlichkeit ist die Eigenschaft von automatisierten Verfahren, von der zuständigen Stelle gewollte Rechtsfolgen bindend herbeizuführen.

4 

Belegfunktion

4.1

Belegverarbeitung

4.1.1

Aus der Verfahrensdokumentation (VV Nr. 6.2) muss ersichtlich sein, wie die elektronischen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden (VV Nr. 6.1 und 6.2).

4.1.2

Die Erfordernisse des § 71 Abs. 1 Satz 1 BHO sind erfüllt, wenn die Buchungen in der dort vorgesehenen Ordnung bis zum Ablauf der jeweiligen Aufbewahrungsfristen dargestellt werden können. Einer Speicherung in dieser Ordnung bedarf es dann nicht.

4.2

Belegsicherung

4.2.1

Die Belege sind unmittelbar nach Eingang oder Entstehung gegen Verlust zu sichern (VV Nr. 6.1 und 6.2).

4.2.2

Zur Sicherung der Beweiskraft nach VV Nr. 4.1.1 sind Belege und Buchungen so zu kennzeichnen, dass sie gegenseitig eindeutig zugeordnet werden können.

4.2.3

Liegen den Buchungen automatisierte Berechnungsprozesse teilweise oder vollständig zu Grunde, sind sie in der Verfahrensdokumentation nachzuweisen. Änderungen der automatisierten Berechnungsprozesse sind nur mittels eines autorisierten Änderungsverfahrens zulässig.

5 

Internes Kontrollsystem (IKS)

Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die Einhaltung der Ordnungsvorschriften sicherstellt.

5.1

Einhaltung der Ordnungsvorschriften

Für die Einhaltung der Ordnungsvorschriften (Nr. 3) sind Kontrollen einzurichten, auszuüben und zu protokollieren. Hierzu gehören insbesondere:

5.1.1

Zugangs- und Zugriffsberechtigungskontrollen auf Basis entsprechender Zugangs- und Zugriffsberechtigungskonzepte (z. B. spezifische Zugangs- und Zugriffsberechtigungen),

5.1.2

Einhaltung der Funktionstrennungen,

5.1.3

Erfassungs- und Abstimmungskontrollen (z. B. Fehlerhinweise, Plausibilitätsprüfungen),

5.1.4

Verarbeitungskontrollen,

5.1.5

Einhaltung der Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen und elektronischen Unterlagen und

5.1.6

Sicherstellung von Änderungen von automatisierten Berechnungsprozessen nur mittels autorisierter Änderungsverfahren.

5.2

Anlassbezogene Prüfungen

Im Rahmen eines IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte automatisierte Verfahren dem dokumentierten Verfahren entspricht (VV Nr. 6.2).

6 

Aufbewahrung von elektronischen Unterlagen

6.1

Allgemeines

Für die Aufbewahrung von elektronischen Unterlagen gelten die Regelungen der VV Nr. 4.7. Die in VV Nr. 4.7.2 genannte Stelle hat die Verfahrensabläufe für die Aufbewahrung von elektronischen Unterlagen festzulegen. Dabei sind festzulegen

6.1.1

die Abgrenzung der Aufgaben- und Verantwortungsbereiche der an dem Verfahren Beteiligten und

6.1.2

die Zugangs-, Zugriffs- und Rücklaufkontrollen.

6.2

Besondere Aufbewahrungspflichten

6.2.1

Bei elektronischen Unterlagen ist ihr Eingang, ihre Aufbewahrung und ggf. Konvertierung sowie die weitere Verarbeitung zu protokollieren. Dabei muss sichergestellt sein, dass die beteiligten und verantwortlichen Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und der Uhrzeit systemseitig revisionssicher dokumentiert werden und der Zusammenhang der einzelnen Unterlagen zu einem Geschäftsvorfall gewahrt bleibt.

6.2.2

Die Unterlagen sind so aufzubewahren, dass innerhalb einer angemessenen Frist einzelne Unterlagen zur Verfügung stehen.

6.2.3

Sind aufbewahrungspflichtige elektronische Unterlagen in einem automatisierten Verfahren entstanden oder eingegangen, so sind diese Daten in der Form der Erstellung oder der Übernahme unveränderbar aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein Archivsystem erfolgt. Es ist sicherzustellen, dass die elektronischen Unterlagen innerhalb der Aufbewahrungszeit auch nach einem Wechsel der zum Zeitpunkt der Speicherung eingesetzten automatisierten Verfahren lesbar gemacht und ausgewertet werden können.

6.2.4

Elektronische Unterlagen sind in einem Verfahren unveränderbar, gegen Verlust, Beschädigung und den Zugriff Unbefugter geschützt aufzubewahren. Es muss sichergestellt sein, dass die Haltbarkeit, die Lesbarkeit und die maschinelle Auswertbarkeit der Unterlagen während der Dauer der Aufbewahrung nicht beeinträchtigt werden. Bei der Aufbewahrung von elektronischen Unterlagen ist eine elektronische Signatur nicht erforderlich.

6.2.5

Eingehende elektronische Unterlagen sind im Rahmen der sachlichen Feststellung auf Integrität (Nr. 3.2) und Authentizität (Nr. 3.5) zu prüfen. Bei den elektronischen Unterlagen ist auf deren Inhalt abzustellen. Sie sind nur dann aufzubewahren, wenn sie sich als begründende Unterlagen darstellen.

6.2.6

Eine elektronische Unterlage ist so zu kennzeichnen, dass sie jederzeit innerhalb einer angemessenen Frist lesbar gemacht und ausgedruckt werden kann. Es ist sicherzustellen, dass die elektronische Unterlage unter dem Kennzeichen verwaltet und mit weiteren dazugehörigen Unterlagen zusammengeführt werden kann. Dies gilt für die gesamte Aufbewahrungsfrist.

6.2.7

Die elektronischen Bearbeitungsvorgänge sind zu protokollieren und mit der elektronischen Unterlage zu speichern, damit die Nachvollziehbarkeit und Prüfbarkeit des Originalzustands und seiner Ergänzungen gewährleistet ist.

6.3

Prüfbarkeit der aufbewahrungspflichtigen elektronischen Unterlagen

Die elektronischen Unterlagen müssen für die Rechnungsprüfung und für die Aufgaben nach § 9 BHO auch maschinell auswertbar sein.

6.4

Elektronische Erfassung von Unterlagen in Papierform

6.4.1

Unterlagen in Papierform werden durch den Scanvorgang in elektronische Unterlagen umgewandelt. Es muss dabei sichergestellt werden, dass das Original mit der gescannten Unterlage übereinstimmt und der Zusammenhang der einzelnen Unterlagen gewahrt bleibt.

6.4.2

Die Unterlagen in Papierform dürfen nach dem fehlerfreien Scanvorgang nach dem in Nr. 6.4.3.4 genannten Zeitraum vernichtet werden. Die weitere Bearbeitung darf nach dem Scanvorgang nur noch mit der elektronischen Unterlage erfolgen. Dies gilt nicht, wenn Rechtsvorschriften oder andere zwingende Gründe dem entgegenstehen.

6.4.3

Das Verfahren muss dokumentiert werden. Die zuständige Stelle muss eine Dienstanweisung erstellen, die unter anderem regelt,

6.4.3.1

wer nach dem Berechtigungskonzept scannen darf,

6.4.3.2

zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung),

6.4.3.3

welche Unterlagen gescannt werden,

6.4.3.4

in welchem Zeitraum nach dem Scanvorgang die Unterlagen in Papierform vernichtet werden dürfen (abhängig davon, wann die Bearbeitung der elektronischen Unterlagen in der Regel beginnt und durch eine fachlich zuständige Stelle Fehler/schlechte Qualität im Scandokument abschließend bemerkt werden können),

6.4.3.5

welche Unterlagen in Papierform nach dem Scanvorgang nicht vernichtet werden dürfen,

6.4.3.6

wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit erfolgt,

6.4.3.7

wie die elektronische Unterlage einem Geschäftsvorfall zugeordnet wird und

6.4.3.8

wie Fehler protokolliert werden.

6.5

Aussonderung von elektronischen Unterlagen

Elektronische Daten sind unwiderruflich technisch gemäß dem IT-Grundschutz des BSI zu löschen.