Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (BestMaVB - HKR)

E-VSF: H 08 90

Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes
(BestMaVB - HKR)

(VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO)

(12/06)

Zum Rundschreiben des BMF 6. Dezember 2006 bezüglich der Aktualisierung der BestMaVB-HKR

- leer -

 

Inhaltsverzeichnis:

Erster Abschnitt Allgemeine Bestimmungen

Vierter Abschnitt Anlagen

Erster Abschnitt Allgemeine Bestimmungen

 

1  Vorbemerkung

(1) Beim Einsatz automatisierter Verfahren im Haushalts- Kassen- und Rechnungswesen des Bundes sind grundsätzlich die Bestimmungen der VV Nr. 6 für Zahlungen, Buchführung und Rechnungslegung der BHO anzuwenden.

(2) Nach VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO verzichtet das Bundesministerium der Finanzen auf das Einwilligungsverfahren nach VV Nr. 6.5 für Zahlungen, Buchführung und Rechnungslegung der BHO, wenn der Einsatz des automatisierten Verfahrens im Rahmen dieser Bestimmungen erfolgt, insbesondere die vorgeschriebenen Mindestanforderungen eingehalten werden.

(3) Damit ist sichergestellt, dass diese Daten nicht verändert werden können, bzw. Veränderungen erkennbar sind und zweifelsfrei die Identität der Personen erkennbar ist, die an der Erstellung der Unterlagen bzw. an der Anordnung der Zahlungen und Buchungen beteiligt waren.

2  Anwendungsbereich

2.1

HKR-Verfahren des Bundes

Die Haushaltsmittel des Bundes sind in dem vom Bundesministerium der Finanzen zugelassenen automatisierten Verfahren für das Haushalts-, Kassen- und Rechnungswesen (HKR-Verfahren) sowie den dazugehörigen Vorverfahren (z.B. Zahlungsüberwachungsverfahren, Darlehen) zu bewirtschaften. Das Bewirtschaften von Haushaltsmitteln umfasst alle Maßnahmen der Mittelverteilung, der Mittelverwendung, einschließlich der Festlegung von Haushaltsmitteln aufgrund rechtsgültiger Verpflichtungen, der Inanspruchnahme von Verpflichtungsermächtigungen, zur Leistung oder Annahme von Zahlungen einschließlich der Überwachung und Ausführung und der entsprechenden Buchungen in zeitlicher Folge in der vom Bundesministerium der Finanzen vorgeschriebenen sachlichen Ordnung.

2.2

Andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

Für den Einsatz anderer automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen bei Stellen, die Haushaltsmittel des Bundes bewirtschaften, insbesondere zur Berechnung und Festsetzung von Zahlungen, erstellen von begründenden Unterlagen, erstellen von Kassenanordnungen oder der Zahlbarmachung, sind die Mindestanforderungen dieser Bestimmungen einzuhalten. Soll in begründeten Ausnahmefällen von den Mindestanforderungen abgewichen werden, so kann das Bundesministerium der Finanzen im Einvernehmen mit dem Bundesrechnungshof nach VV Nr. 6.5 für Zahlungen, Buchführung und Rechnungslegung der BHO seine Einwilligung erteilen, wenn auf andere Art und Weise die Verfahrens- und Kassensicherheit gewährleistet wird.

 

3  Begriffsbestimmung

3.1

Unterlagen

Unterlagen im Sinne dieser Bestimmungen sind alle Nachweise, in visuell lesbarer sowie in elektronischer Form, die für die Rechnungslegung und für den Nachweis der ordnungsgemäßen Abwicklung der Buchführung benötigt werden. Insbesondere gehören dazu die begründenden Unterlagen sowie die Kassenanordnungen und Kassenanweisungen.

3.2

Begründende Unterlagen

Für die Anordnung zur Leistung oder Annahme einer Zahlung und zur Buchung sind Unterlagen notwendig, die Zweck und Anlass für die Erstellung einer Kassenanordnung oder Kassenanweisung zweifelsfrei erkennen lassen.

3.3

Kassenanordnung und Kassenanweisung

-

Kassenanordnung

Mit Kassenanordnungen werden nach der vom Bundesministerium der Finanzen vorgeschriebenen Form (schriftlich oder elektronisch) einer Kasse oder Zahlstelle die Leistung oder Annahme von Zahlungen angeordnet. Außerdem werden mit Kassenanordnungen einer Kasse die Buchungen angeordnet.

-

Kassenanweisung

Mit Kassenanweisungen werden nach der vom Bundesministerium der Finanzen vorgeschriebenen Form (schriftlich oder elektronisch) einer Kasse oder Zahlstelle nicht buchungspflichtige Weisungen erteilt.

3.4

Bewirtschafter

Oberbegriff für alle an der Bewirtschaftung von Haushaltsmitteln des Bundes beteiligten Stellen. Dazu gehören

-

Mittelverteiler (MV) und

-

Titelverwalter (TV).

3.5

Druckbilder

(1) Zahlungsverkehrs-, Buchungs- und Anordnungsunterlagen (Zahlungs- und Buchungsdaten) sind mit den vom Bundesministerium der Finanzen vorgeschriebenen Druckbildern als Schnittstelle zum HKR-Verfahren den Bundeskassen mit Datenträgern oder der vom Bundesministerium der Finanzen zugelassenen zentralen Stelle mit Datenfernübertragung zu übermitteln.

(2) Die mit Datenfernübertragung übermittelten Zahlungs-, Buchungs- und Anordnungsdaten sind mindestens mit einer nach dem im Signaturgesetz zugelassenen fortgeschrittenen elektronischen Signatur zu versehen. Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesrechnungshof eine andere Sicherungsmaßnahme zulassen.

Zweiter Abschnitt Verfahrenssicherheit

 

4  Ordnungsmäßigkeit und Sicherheit

4.1

Grundsatz

(1) Werden andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen (Nr. 2.2) von Bewirtschaftern eingesetzt sind insbesondere die folgenden Grundvoraussetzungen der Verfahrens- und Kassensicherheit einzuhalten:

 

Verantwortungsabgrenzung und Verantwortungszuordnung (Vier-Augen-Prinzip, Feststellung und Anordnung, Unveränderbarkeit festgestellter oder angeordneter Daten)

 

Förmlichkeit (Verwendung vorgeschriebener Druckbilder, Aufbau der Datensätze)

 

Prüfbarkeit (Vorhandensein und Aufbewahrung prüfbarer Unterlagen, eindeutige Zuordnung der prüfbaren Unterlagen zu den durchgeführten Zahlungen)

 

Nachvollziehbarkeit und Dokumentation der einzelnen Verantwortungsbereiche

 

(2) Außerdem ist für die Rechnungsprüfung der Zugriff auf das Verfahren, die Verarbeitungsschritte und die Unterlagen zu gewährleisten.

4.2

Verantwortlichkeit

Die zuständige oberste Bundesbehörde hat die Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit des eingesetzten Verfahrens sowie die Erfüllung der Mindestanforderungen (Nr. 6) sicherzustellen. Werden Haushaltsmittel des Bundes durch Landes- oder Kommunaldienststellen bewirtschaftet, ist ggf. auch das zuständige Landesministerium im Rahmen seiner Fachaufsicht zu beteiligen.

4.3

Unterrichtung der obersten Bundesbehörde, des Bundesministeriums der Finanzen und des Bundesrechnungshofes

(1) Der Bewirtschafter unterrichtet seine zuständige oberste Bundesbehörde, das Bundesministerium der Finanzen sowie den Bundesrechnungshof über beabsichtigte automatisierte Verfahren nach VV Nr. 6 für Zahlungen, Buchführung und Rechnungslegung der BHO ( Anlage 1 ).

(2) Der Bewirtschafter unterrichtet seine zuständige oberste Bundesbehörde, das Bundesministerium der Finanzen sowie den Bundesrechnungshof über die Aufnahme des Wirkbetriebs oder die Verwendung neuer oder zusätzlicher Druckbilder bei einem bereits eingesetzten automatisierten Verfahren ( Anlage 1 ). Der Mitteilung über die Aufnahme des Wirkbetriebs ist die Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz von automatisierten Verfahren ( Anlage 2 ) beizufügen. Die Mitteilung über die Aufnahme des Wirkbetriebs oder die Verwendung neuer oder zusätzlicher Druckbilder bei einem bereits eingesetzten automatisierten Verfahren ist vom zuständigen Beauftragten für den Haushalt zu bescheinigen und zusätzlich der zuständigen Bundeskasse zu übersenden. Beim erstmaligen Einsatz eines automatisierten Verfahrens und bei Änderungen eines bereits eingesetzten automatisierten Verfahrens ist zusätzlich die Freigabebescheinigung ( Anlage 3 ) beizufügen (Nr. 6.1). Die oberste Bundesbehörde oder ein zentrales Rechenzentrum kann die Freigabebescheinigung für ein automatisiertes Verfahren für alle Bewirtschafter erteilen.

(3) Soll in begründeten Ausnahmefällen von den Mindestanforderungen abgewichen werden (Nr. 2), so ist die Einwilligung des Bundesministeriums der Finanzen einzuholen. Im Antrag ist ausführlich zu begründen, warum und welche Mindestanforderungen nicht eingehalten werden können und wie auf andere Art und Weise die Verfahrens- und Kassensicherheit gewährleistet wird. Die Einwilligung setzt das Einvernehmen mit dem Bundesrechnungshof voraus.

 

5  Schnittstelle zum HKR-Verfahren

Die aus einem automatisierten Verfahren erstellten Aufträge zur Leistung oder Annahme von Zahlungen sowie Buchungen sind mit den vom Bundesministerium der Finanzen vorgeschriebenen Druckbildern (Nr. 3.5) anzuordnen.

5.1

Prüfung der Schnittstellen

5.1.1

Prüfung der Druckbilder

Vor dem erstmaligen Einsatz des automatisierten Verfahrens prüfen die Bundeskassen oder das Kompetenzzentrum für das Kassen- und Rechnungswesen des Bundes die Ordnungsmäßigkeit der eingesetzten Schnittstelle zum HKR-Verfahren in eigener Zuständigkeit anhand der Erläuterungen zu den vorgeschriebenen Druckbildern.

5.1.2

Prüfung der Verarbeitungsfähigkeit

Vor dem erstmaligen Einsatz des automatisierten Verfahrens sind die Buchungs- bzw. Anordnungsdaten vom Bewirtschafter bei der dafür vom Bundesministerium der Finanzen zugelassenen Stelle auf die Verarbeitungsfähigkeit prüfen zu lassen. Eine entsprechende Bescheinigung von der zugelassenen Stelle, dass die Buchungs- bzw. Anordnungsdaten einwandfrei verarbeitet werden konnten, ist der zuständigen Bundeskasse vom Bewirtschafter beim erstmaligen Einsatz des automatisierten Verfahrens vorzulegen.

5.1.3

Prüfung der Zahlungsdaten

Vor dem erstmaligen Einsatz des automatisierten Verfahrens sind vom Bewirtschafter die Zahlungsdaten über die zuständige Bundeskasse bei der Deutschen Bundesbank oder der Deutschen Postbank AG auf Verarbeitungsfähigkeit prüfen zu lassen.

5.2

Aufbau der Datensätze

Die für die Schnittstelle verwendeten Datensätze müssen für

 

Zahlungsdatenträger den „Besonderen Bedingungen der Deutschen Bundesbank“ in der jeweils gültigen Fassung und

 

Buchungs- und Anordnungsdatenträger den Vorgaben des Bundesministeriums der Finanzen für das HKR-Verfahren (Datensatzbeschreibungen der entsprechenden Druckbilder)

 

entsprechen. In den Buchungs- und Anordnungsdaten dürfen nur solche Zeichen verwendet werden, die in der Anlage 4 aufgeführt sind.

5.3

Verschlüsselung

Anordnungsdatenträger sind aus Sicherheitsgründen mit der vom Bundesministerium der Finanzen zugelassenen Software zu verschlüsseln. Der Einsatz einer anderen gleichwertigen Verschlüsselungssoftware bedarf der Genehmigung des Bundesministeriums der Finanzen.

 

6  Mindestanforderungen

Der Einsatz von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes ist allgemein zugelassen, wenn die entsprechenden Dokumentationen und Unterlagen gem. VV Nr. 6.1.2 für Zahlungen, Buchführung und Rechnungslegung der BHO erstellt werden und die nachfolgenden Mindestanforderungen erfüllt sind. Außerdem ist für den Einsatz eines automatisierten Verfahrens eine Dienstanweisung zu erstellen, in der verbindlich festzulegen ist, welche Verantwortungsbereiche den einzelnen Personen übertragen werden. Die Mindestanforderungen bezeichnen im Einzelnen, welche Sicherungsmaßnahmen beim Einsatz von automatisierten Verfahren getroffen und beachtet werden müssen.

6.1

Einsatz dokumentierter, freigegebener und gültiger Programme

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass nur dokumentierte, freigegebene und gültige Programme verwendet werden.

6.1.1

Freigabebescheinigung

Jeder Bewirtschafter hat vor dem erstmaligen Einsatz eines automatisierten Verfahrens die Freigabebescheinigung ( Anlage 3 ) zu erteilen und dem Bundesministerium der Finanzen vorzulegen. Mit Vorlage der Freigabebescheinigung übernimmt der Bewirtschafter die Verantwortung dafür, dass das automatisierte Verfahren den fachlichen, organisatorischen und datenschutzrechtlichen Anforderungen entspricht, und eingesetzt werden darf. Die Freigabebescheinigung ist bei Änderungen des automatisierten Verfahrens erneut zu erteilen (Nr. 4.3).

6.1.2

Mitwirkung des Beauftragten für den Haushalt

Der Beauftragte für den Haushalt (im Kommunalbereich der Verantwortliche für die Ausführung des Haushalts der Kommune) ist zu beteiligen und bestätigt dies durch Unterschrift. Werden Geschäftsvorfälle im Dialogverfahren bearbeitet und werden die Arbeitsergebnisse lediglich stichprobenweise geprüft (Nr.6.2.6.1), so hat der Beauftragte für den Haushalt ausdrücklich zu bescheinigen, dass die Kassensicherheit gewährleistet ist.

6.2

Gewährleistung der Richtigkeit und Vollständigkeit der erfassten bzw. verarbeiteten Daten

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass die Richtigkeit und Vollständigkeit der Datenerfassung und der Datenverarbeitung durch organisatorische und programmierte Kontrollen z.B. durch Prüferfassung, Kontrollsummen, Plausibilitätskontrollen, Prüfziffern, gewährleistet sind.

6.2.1

Abgrenzung der Verantwortungsbereiche

6.2.1.1

Dienstanweisung

Für jedes automatisierte Verfahren hat der jeweilige Bewirtschafter eine Dienstanweisung (Nr. 6) zu erstellen, in der die Verantwortungsbereiche nach Nr. 1.2 VV für Zahlungen, Buchführung und Rechnungslegung der BHO der für das automatisierte Verfahren zugelassenen Personen festgelegt sind. Die Bestimmungen der Anlage zur VV Nr. 9.2 für Zahlungen, Buchführung und Rechnungslegung der BHO gelten entsprechend. Es muss dabei sichergestellt sein, dass nicht eine Person an einem einzelnen Geschäftsvorfall maßgeblich beteiligt ist, die auch an einer Anordnung zur Zahlung oder Buchung maßgeblich beteiligt ist.

6.2.1.2

Dokumentation der Verantwortungsbereiche

Die in der Dienstanweisung festgelegten Verantwortungsbereiche und Zugriffsberechtigungen sind vom zuständigen Beauftragten für den Haushalt den verantwortlichen Personen zu übertragen und in der Dienstanweisung zu dokumentieren. In dem automatisierten Verfahren muss sichergestellt sein, dass die an einem einzelnen Geschäftsvorfall beteiligten Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und ggf. der Uhrzeit dokumentiert werden.

6.2.1.3

Pflicht zur Bescheinigung der Verantwortungsbereiche

6.2.1.3.1

Die Bescheinigung der ordnungsgemäßen Wahrnehmung der Verantwortungsbereiche ist in den Unterlagen (3.1) gem. Nr. 2.2 der Anlage zur VV Nr. 9.2 für Zahlungen, Buchführung und Rechnungslegung der BHO zu dokumentieren. Aus der Bescheinigung muss erkennbar sein, welcher Verantwortungsbereich wahrgenommen worden ist. Die Bescheinigung kann auch auf andere Weise abgegeben werden, wenn dabei sichergestellt ist, dass die an einem einzelnen Geschäftsvorfall beteiligten Personen und der Umfang der von ihnen jeweilig wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und ggf. der Uhrzeit systemtechnisch dokumentiert werden. Dies gilt auch für die Bescheinigung der ordnungsgemäßen Datenerfassung und Prüfung der erfassten Daten.

6.2.1.3.2

Die Feststellungen der sachlichen und rechnerischen Richtigkeit (Nr. 2.2.2 und 2.2.3 der Anlage zur VV Nr. 9.2 für Zahlungen, Buchführung und Rechnungslegung der BHO) in den begründenden Unterlagen kann zusammengefasst werden. Werden die Zahlungen und Buchungen mit einem zugelassenen Druckbild angeordnet, sind die sachliche Richtigkeit und die Anordnungsbefugnis (Nr. 2.2.4 der Anlage zur VV Nr. 9.2 für Zahlungen, Buchführung und Rechnungslegung der BHO zur Wahrung des Vier-Augen-Prinzips immer durch zwei Personen festzustellen.

6.2.1.3.3

Die Bearbeiter oder Feststeller sind für die Richtigkeit der eingegebenen Daten nur dann verantwortlich, wenn eine Veränderung der Daten durch unbefugte Dritte oder durch das Verfahren selbst ausgeschlossen ist. Die technischen Anlagen des automatisierten Verfahrens müssen deshalb organisatorisch und programmtechnisch so geschützt werden, dass nur die verantwortlichen Bearbeiter Daten eingeben oder verändern können.

6.2.1.3.4

In einem automatisierten Verfahren sind nur vorgeschriebene Druckbilder zugelassen. Die Regelungen für die allgemein erteilten Kassenanordnungen gelten nicht (Rundschreiben - All-gemeine Kassenanordnung nach VV Nr. 1.1.2 nach VV Nr. 1.1.2 für Zahlungen, Buchführung und Rechnungslegung der BHO).

6.2.1.4

Ausnahme von der Pflicht zur Bescheinigung des Verantwortungsbereichs

Werden Unterlagen (Nr. 3.1) ganz oder teilweise in dem automatisierten Verfahren erstellt, so gilt die Freigabebescheinigung (Nr. 6.1.1) für das automatisierte Verfahren als Feststellung der rechnerischen Richtigkeit für das Ergebnis von Berechnungen.

6.2.2

Datenübernahme und -verarbeitung in einem automatisierten Verfahren

Die Übernahme und Verarbeitung von Daten in ein automatisiertes Verfahren gliedert sich in die Teilbereiche

-

Datenermittlung,

-

Datenerfassung einschließlich Prüfung und

-

Datenverarbeitung.

6.2.3

Datenermittlung

Die Datenermittlung ist das Sammeln, Zuordnen, Verschlüsseln und die erfassungsgerechte Aufbereitung von Daten anhand von begründenden Unterlagen. Für die richtige, vollständige und rechtzeitige Ermittlung und Aufbereitung der Daten ist der zuständige Bewirtschafter verantwortlich. Die ordnungsgemäße Datenermittlung ist in den begründenden Unterlagen (3.2) im Rahmen der Feststellung der sachlichen und ggf. rechnerischen Richtigkeit im Rahmen der Nr. 6.2.1 zu bescheinigen.

6.2.4

Datenerfassung

6.2.4.1

Übernahme von Daten in das automatisierte Verfahren

6.2.4.1.1

Die Datenerfassung ist die verarbeitungsgerechte Übernahme von ermittelten Daten in ein automatisiertes Verfahren, um diese Daten weiter verarbeiten zu können. Sie kann durch manuelle Eingabe von Daten visuell lesbarer Unterlagen oder anderer Übernahme von visuell lesbaren Unterlagen (z.B. scannen) in das automatisierte Verfahren erfolgen. Es dürfen nur solche Daten erfasst werden, deren sachliche und ggf. auch rechnerische Richtigkeit zuvor festgestellt wurde. Es muss sichergestellt sein, dass die Rechnungsprüfung den Zusammenhang zwischen den ermittelten und den erfassten Daten erkennen kann.

6.2.4.1.2

Die Datenerfassung für Einnahmen kann auch durch das zur Verfügung stellen von Daten auf elektronischem Wege durch eine dritte Person erfolgen, wenn diese ausschließlich die Dritte Person betreffen und ausschließlich automatisiert, ohne weitere manuelle Bearbeitung, weiterverarbeitet werden. Dies setzt eine systemtechnische Prüfung der Datenermittlung voraus. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsgemäße Erstellung von Unterlagen auf Grund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 6.2.3 kann bei dieser Art der Datenerfassung verzichtet werden.

6.2.4.2

Bescheinigung der Datenerfassung

Die ordnungsgemäße Datenerfassung ist in den begründenden Unterlagen (3.2) oder sonstigen Datenerfassungsbelegen im Rahmen der Nr. 6.2.1 zu bescheinigen.

6.2.4.3

Nicht ordnungsgemäße Beendigung des automatisierten Verfahrens

Im Falle einer nicht ordnungsgemäßen Beendigung des automatisierten Verfahrens (z. B. durch Stromausfall oder Programmabsturz) ist der zuletzt angesprochene Bearbeitungsfall nochmals aufzurufen und zu kontrollieren, ob die vorgegebenen Daten richtig und vollständig gespeichert wurden.

6.2.5

Zusammenfassung von Datenermittlung und -erfassung

Die Datenermittlung und die Datenerfassung sowie die dafür notwendigen Bescheinigungen dürfen zusammengefasst werden. (z.B. Dialogerfassung). Die Nr. 6.2.3 und 6.2.4 gelten entsprechend.

6.2.6

Prüfung der erfassten Daten

Die erfassten Daten, insbesondere die zahlungsrelevanten Daten (z. B. Bestimmungsgrößen für gesetzliche oder vertragliche Leistungen, Name des Zahlungsempfängers, Betrag, Kontonummer und Bankleitzahl), sind anhand der begründenden Unterlagen oder der sonstigen Datenerfassungsbelege von einer zweiten Person zu prüfen, die weder an der Ermittlung noch an der Erfassung der Daten beteiligt war. Es muss sichergestellt sein, dass die zur Prüfung zugelassene Person die erfassten Daten nicht verändern kann. Stellt die zur Prüfung zugelassene Person Abweichungen zwischen den ermittelten und erfassten Daten fest, so dürfen die Daten nicht zur Freigabe weitergeleitet werden und sind von einer zur Datenerfassung zugelassenen Person zu berichtigen. Für die Bescheinigung der Prüfung gelten die Bestimmungen der Nr. 6.2.1.3.1. Daten, die nach Nr. 6.2.4.1.2 erfasst wurden bedürfen keiner Prüfung.

6.2.6.1

Stichprobenprüfung

6.2.6.1.1

Unterstützt das automatisierte Verfahren die Datenermittlung und Datenerfassung durch hinreichende Plausibilitätsprüfungen und ist ein Beenden der Dateneingabe erst nach Erledigung der automatischen Korrekturaufforderungen möglich, kann sich die Prüfung durch die zweite Person in begründeten Fällen auf zufallsorientiert ausgewählte Stichproben in angemessenem Umfang beschränken. Eine derartige Beschränkung auf Stichproben ist grundsätzlich ausgeschlossen bei

-

Geschäftsvorfällen, die zu Zahlungen auf unbestimmte Zeit führen;

-

Geschäftsvorfällen, die zu wiederkehrenden Zahlungen führen und im voraussichtlichen Anspruchszeitraum den Betrag von 7.500 € übersteigen sowie

-

Einmalzahlungen über 2.500 €.

6.2.6.1.2

Neben der zufallsorientiert ermittelten Stichprobe sollten auch gezielt Geschäftsvorfälle mit dem automatisierten Verfahren durch Eingabe von Kriterien ausgewählt und zur Prüfung herangezogen werden können. Solche Kriterien können z. B. sein:

-

bestimmte Kostenarten,

-

bestimmte Fallgruppen,

-

neuer Mitarbeiter oder

-

Geschäftsvorfälle mit hoher Fehleranfälligkeit.

6.2.6.2

Dokumentation in der Dienstanweisung

6.2.6.2.1

In der Dienstanweisung sind die aus den Kriterien abgeleiteten Parameter und der Prüfumfang verbindlich festzulegen. Diese sind systemtechnisch umzusetzen. Das automatisierte Verfahren muss jedoch die freie Einstellung der Parameter und der Prüfquote ermöglichen, so dass auch im Zeitablauf wechselnde Prüfkriterien realisiert werden können. Änderungen der Einstellungen dürfen nur mit Zustimmung des Beauftragten für den Haushalt bzw. seines Bevollmächtigten erfolgen und sind in einer Datei zu protokollieren.

6.2.6.2.2

In einem protokollierten Prüflauf mit unterschiedlichen Einstellungen der Parameter und Prüfquoten ist festzustellen, bei welcher Prüfquote die Kassensicherheit hinreichend gewährleistet ist. Die Testvorgaben müssen neben der Qualität der Fallbearbeitung auch die Missbrauchsprävention berücksichtigen. Die Wirksamkeit der Einstellungen ist mindestens jährlich zu prüfen. Eine Niederschrift über die erfolgte Prüfung ist vom Bewirtschafter zu den Akten zu nehmen.

6.2.6.2.3

Es müssen mindestens 5 v.H. der neuen oder geänderten Geschäftsvorfälle anhand der begründenden Unterlagen zufalls-orientiert geprüft werden. Um auch bei geringen Fallzahlen aussagefähige Stichproben zu gewährleisten, sollten unabhängig vom jeweiligen v.H.-Satz eine Mindestzahl von Geschäftsvorfällen in die Stichprobe einbezogen werden, um auf die Bearbeitungsqualität der Restmenge schließen zu können.

6.2.6.3

Feststellung von Fehlern bei der Prüfung

Werden bei der Prüfung der ausgewählten Fälle Fehler festgestellt, so sind diese Fälle zurückzuweisen und zu berichtigen. Werden Fehler mit finanziellen Auswirkungen festgestellt, ist aus dem Restbestand eine weitere Stichprobe in gleichem Umfang zu prüfen. Dieser Vorgang ist zu wiederholen, bis eine fehlerfreie Stichprobe vorliegt. Die restlichen Fälle dürfen erst dann freigegeben und zur Zahlung angeordnet werden, wenn die Prüfungsergebnisse die Überzeugung rechtfertigen, dass keine weiteren Fehler mit finanzieller Auswirkung in den Datensätzen enthalten sind. Die fehlerhaften Fälle sind nach Berichtigung erneut der Prüfung zuzuführen. Die Stichprobenprüfung und Fehlerkorrektur sind so rechtzeitig durchzuführen, dass Zahlungstermine unter Berücksichtigung von Postlaufzeiten sowie Bearbeitungszeiten bei den Bundeskassen eingehalten werden können.

6.2.6.4

Allgemeine Beschränkung auf Stichprobenprüfung

(1) In begründeten Ausnahmefällen ist eine allgemeine Beschränkung auf Stichproben zulässig, wenn in dem automatisierten Verfahren die Kriterien der Nr. 6.2.6.1 nicht erfüllt werden können, die Prüfung durch eine zweite Person zu einem nicht vertretbaren Aufwand führt und die Kassensicherheit auf andere Weise gewährleistet wird. Diese bedarf der Einwilligung des Bundesministeriums der Finanzen im Einvernehmen mit dem Bundesrechnungshof.

(2) In diesen Fällen ist in der Dienstanweisung festzulegen, in welcher Weise die Kassensicherheit gewährleistet wird. Dabei ist sicherzustellen, dass Manipulationen an den zu bearbeitenden Daten sowie Fehler bei der Anwendung materiellen Rechts frühzeitig erkannt und wirkungsvoll unterbunden werden.

6.2.7

Freigabe zur Datenverarbeitung

Nach der Prüfung dürfen die Daten zur Datenverarbeitung freigegeben werden. Eine pauschale Freigabe der geprüften Daten ist nicht zulässig. Eine Änderung der geprüften Daten durch die für die Datenfreigabe zugelassene Person muss ausgeschlossen sein. Es muss systemtechnisch sichergestellt sein, dass die Freigabe (Identität der Person) unter Angabe des Datums und ggf. der Uhrzeit eindeutig, dauerhaft und un-veränderlich dokumentiert wird.

6.2.8

Zusammenfassung der Prüfung und Freigabe der Daten

Die Prüfung und Freigabe der Daten sowie die dafür notwendigen Bescheinigungen dürfen zusammengefasst werden. Die Nr. 6.2.6 und 6.2.7 gelten entsprechend.

6.2.9

Datenverarbeitung

In der Datenverarbeitung werden aus den in das automatisierte Verfahren übernommenen Daten unter Einsatz gültiger, geprüfter und freigegebener Programme Unterlagen (Nr. 3.1) erstellt. Die richtige und vollständige Datenverarbeitung bzw. Störungen, die zum Abbruch der Datenverarbeitung geführt haben, sind in den Arbeitsablaufunterlagen zu bescheinigen. Bei Störungen ist sicherzustellen, dass die bereits verarbeiteten Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen bzw. Mehrfachfachbuchungen kommt.

6.2.10

Stammdaten

Bei Erfassung und Änderung von Stammdaten in einem automatisierten Verfahren ist sinngemäß zu verfahren.

6.3

Zugangs- und Zugriffskontrollen

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass die Zugangs- und Zugriffskontrolle gewährleistet ist und in den Arbeitsablauf nicht unbefugt eingegriffen werden kann.

6.3.1

Passwortschutz

Der Zugang zum Verfahren ist durch ein Passwort zu schützen. Der Passwortschutz sollte möglichst wie folgt aufgebaut sein:

-

maximal 3 Eingabeversuche,

-

wenigstens 6 unterschiedliche alphanumerische Zeichen,

-

jeweilige Gültigkeit des Passwortes höchstens 30 Tage,

-

die in den letzten 6 Monaten verwendeten Passwörter sind für die Wiederverwendung zu sperren und

Passwörter dürfen nicht hinterlegt oder vom Systemprogrammierer/-verwalter eingesehen werden können. Das Passwort in Systemdateien muss verschlüsselt gespeichert werden. Bei Verlust des Passwortes ist ein Initialisierungspasswort zu vergeben, welches dann vom Anwender beim ersten Anmelden durch sein persönliches Passwort zu ersetzen ist.

6.3.2

Bildschirmschutz

Um unbefugte Zugriffe auf das Verfahren bzw. die Datenbestände zu verhindern, muss ferner sichergestellt werden, dass die Bildschirme nach einer Zeit von höchstens 10 Minuten ohne Eingabe über die Tastatur inaktiv geschaltet werden. Die Freischaltung des Bildschirms darf nur durch Passwort des Benutzers möglich sein. Sofern technisch sinnvoll, muss der Benutzer nach einer inaktiven Zeit von insgesamt höchstens 30 Minuten automatisch aus dem System abgemeldet werden.

6.3.3

Abgestufte Zugriffsberechtigung

Die Zugriffsberechtigung zum Verfahren muss eindeutig geregelt sein und darf nur derart erteilt werden, dass der jeweilige Nutzer allein Zugang zu den Programmteilen hat, die er zur Erledigung seiner Aufgaben benötigt (Nr. 6.2.1). Durch den Systemverwalter muss jederzeit nachgewiesen werden können, wer zu welcher Zeit zu welchen Programmen Zugriff hatte. Dies gilt auch für die Dauer der Aufbewahrungsfrist (Nr. 6.5.2).

6.4

Nachweis von Datenbestandsänderungen

(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass jede Veränderung von Daten nachvollziehbar ist; tritt die Veränderung durch das Ergebnis einer Kumulierung von Datensätzen ein, so muss auch diese nachvollziehbar sein.

(2) Sämtliche Veränderungen der Daten eines Geschäftsvorfalles müssen durch geeignete Maßnahmen nachweisbar und unveränderbar festgehalten werden (z.B. anhand einer Datenbankfunktion, Protokolldatei oder eines Verarbeitungsprotokolls).

Der Nachweis muss wenigstens folgende Daten enthalten:

 

das eindeutige Kennzeichen des Geschäftsvorfalls im Verfahren,

 

das Datum, die Uhrzeit und die Benutzerkennung des Mitarbeiters, der die Änderung vorgenommen hat sowie

 

die geänderten Daten mit altem und neuem Stand.

6.5

Sicherung des Datenbestandes

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass Vorkehrungen gegen einen Verlust und eine unbefugte Veränderung der gespeicherten Daten (Dateien und Verarbeitungsprogramme) getroffen sind.

6.5.1

Sicherungskopien

Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass der Daten- und Programmbestand zum Schutz vor Zerstörung, unsachgemäßer Behandlung, unberechtigter Verwendung regelmäßig gesichert wird. Die Sicherungskopien dürfen nicht im gleichen Brandabschnitt, in dem sich die technischen Anlagen des automatisierten Verfahrens befinden, aufbewahrt werden.

6.5.2

Aufbewahrung der Daten

Für die Aufbewahrung der Programme und deren Dokumentationen, des Datenbestandes, der elektronischen Protokollierung der Datenbestandsänderungen (Nr. 6.5), der Aufzeichnungen des Systemverwalters über die Einstellungen der Parameter und Prüfquoten zur Durchführung der Stichprobenprüfung (Nr. 6.2.6.1) sowie der Zugriffsberechtigungen (Nr.6.3.3) gelten die Aufbewahrungsbestimmungen für das Haushalts-, Kassen- und Rechnungswesen des Bundes. Hinsichtlich der Sicherung des Datenbestandes vor unbefugten Veränderungen gelten die Bestimmungen der Nr. 6.3.3.

6.6

Festlegung und Abgrenzung der Aufgaben und Verantwortungsbereiche der am Verfahren beteiligten Personen

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass die Aufgaben- und Verantwortungsbereiche der am Verfahren Beteiligten festgelegt und gegeneinander abgegrenzt sind.

6.6.1

Trennung der Programmentwicklung, Abnahme und Einsatz des automatisierten Verfahrens

Die Programmdateien müssen in den Phasen Entwicklung, Abnahme und Einsatz so gesichert sein, dass Programmierer keinen Zugang zu den Programmen haben, die sich in der Abnahme- oder Einsatzphase befinden.

6.6.2

Trennung der Funktionsbereiche bei im Einsatz befindlichen automatisierten Verfahren

Im Bereich Datenverarbeitung sind bei der Softwareerstellung die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und -pflege, bei zentraler Datenverarbeitung zusätzlich die Arbeitsvorbereitung und Arbeitsnachbereitung sowie Verarbeitung so voneinander zu trennen, dass die Bediensteten jeweils nur in einem der Funktionsbereiche tätig sind. Falls dies nicht möglich ist, sind entsprechende Sicherungsvorkehrungen zu treffen.

6.7

Datenfernübertragung

Bei Datenfernübertragung ist sicherzustellen, dass

-

die Daten richtig und vollständig gesendet und empfangen werden,

-

die Übertragung von Daten wiederholt werden kann und

-

die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.

Die zur Sicherung erforderlichen Maßnahmen sind in der Dienstanweisung festzulegen.

6.8

Übertragung von Aufgaben auf Stellen außerhalb der Bundesverwaltung

Werden automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes ganz oder teilweise auf Stellen außerhalb der Bundesverwaltung zur Durchführung übertragen, so ist sicherzustellen, dass die Regelungen dieser Bestimmungen eingehalten werden.

6.9

Abweichende Anwendung von Bestimmungen

Die in Rechts- oder Verwaltungsvorschriften über die Durchführung von Automationsvorhaben, über den Datenschutz und die Datensicherung getroffenen Regelungen bleiben unberührt.

Dritter Abschnitt Dokumentation und Schlussbestimmungen

 

7  Dokumentationen von anderen automatisierten Verfahren im Haus-halts-, Kassen- und Rechnungswesen des Bundes (Nr. 2.2)

Beim Einsatz von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes sind folgende Unterlagen beim Bewirtschafter aufzubewahren:

 

Verfahrensbeschreibung (kurz gefasst und allgemein verständlich mit Angabe der Aufgabenstellung und Zielsetzung des automatisierten Verfahrens)

 

Verfahrensdokumentation (ausführliche Beschreibung des automatisierten Verfahrens)

 

Dienstanweisung zur Regelung der Verfahrensabläufe und der Verantwortungsbereiche bei allen beteiligten Stellen

 

Bei Stichprobenprüfung (Nr. 6.2.6.1)

 

Ausführliche Begründung, warum Stichprobenprüfung anstelle des Vier-Augen-Prinzips durchgeführt wird

 

Risikoanalyse

 

Konzept zur Gewährleistung der Kassensicherheit

 

Protokoll über die im Rahmen eines Testlaufs erfolgte Festlegung der Prüfquote

 

Mitteilung über die Aufnahme des Wirkbetriebs ( Anlage 1 )

 

Erklärung über die Einhaltung der Mindestanforderungen ( Anlage 2 )

 

Freigabebescheinigung für das automatisierte Verfahren ( Anlage 3 )

 

Bescheinigung über die Urkundeneignung von Laserdruckern

 

8  Schlussbestimmungen

8.1

In-Kraft-Treten

Die Änderungen der Bestimmungen vom 1. Juli 2004 treten zum 1. Januar 2007 in Kraft.