Aktualisierung der Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes - BestMaVB-HKR

Bestimmungen
über die
Mindestanforderungen für den Einsatz
automatisierter Verfahren
im
Haushalts-, Kassen- und Rechnungswesen
des Bundes
(BestMaVB-HKR)

VV Nr. 6.7 für Zahlungen, Buchführung und Rechnungslegung
(§§ 70 bis 72 und 74 bis 80 BHO)

(Stand: 9/2019)

Inhaltsverzeichnis:

Begriffsbestimmungen

Erster Abschnitt - Allgemeines

1

Grundsatz

(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen (HKR) des Bundes sind die Regelungen der VV Nr. 6.1 bis Nr. 6.5 für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO) - VV-ZBR BHO (einschließlich GoBIT-HKR) und die nachfolgenden Bestimmungen einzuhalten. Die Bestimmungen beschreiben die Anforderungen an die Kassensicherheit für den Einsatz von automatisierten Verfahren im HKR. Automatisierte Verfahren nach VV Nr. 6.1.1 ZBR BHO dürfen nur mit einer Einwilligung durch das Bundesministerium der Finanzen im Wirkbetrieb eingesetzt werden.

(2) Wenn die Regelungen der VV Nr. 6.1 bis Nr. 6.5 ZBR BHO und die nachfolgenden Mindestanforderungen eingehalten werden, gilt eine allgemeine Einwilligung nach VV Nr. 6.7.1 ZBR BHO für den Einsatz des automatisierten Verfahrens im Haushalts-, Kassen und Rechnungswesen des Bundes nach Nr. 1.2 GoBIT-HKR als erteilt.

(3) Können in Ausnahmefällen diese Bestimmungen nicht vollständig eingehalten werden oder führt die Einhaltung der Bestimmungen zu einem nicht vertretbaren Aufwand, kann das Bundesministerium der Finanzen nach VV Nr. 6.6.2 ZBR BHO auf Antrag der oder des Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde seine Einwilligung zum Einsatz des automatisierten Verfahrens erteilen. Im Antrag ist zu begründen, warum und welche Mindestanforderungen nicht eingehalten werden können und wie auf andere Art und Weise die Verfahrens- und Kassensicherheit gewährleistet werden soll (siehe Anlage 3 - Allgemeine Erläuterungen zum Einwilligungsverfahren). Der vollständige Antrag muss mindestens vier Monate vor dem geplanten Wirkbetrieb dem BMF vorliegen.

(4) Im Wirkbetrieb ist von der zuständigen Beauftragten oder dem zuständigen Beauftragten für den Haushalt durch regelmäßige Prüfungen in einem Zeitraum von höchstens 24 Monaten sicherzustellen, dass die Mindestanforderungen bzw. die im Einwilligungsverfahren vereinbarten Regelungen beim Einsatz des automatisierten Verfahrens eingehalten werden. Die oder der Beauftragte für den Haushalt kann die Prüfung durch eine verantwortliche Person durchführen lassen, die nicht an der Systemprogrammierung, Verfahrensentwicklung und -pflege sowie der Verarbeitung beteiligt sein darf. Die durchgeführten Prüfungen sowie ggf. festgestellte Fehler und die Maßnahmen zur Fehlerbehebung sind zu dokumentieren. Fehler sind unverzüglich zu beseitigen.

1.1

Mitteilungspflichten

Die Erklärung nach Nr. 1.1.1 bzw. die Meldungen nach Nrn. 1.1.2 und 1.1.3 können jeweils zentral von der oder dem Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde bzw. von der oder dem Beauftragten für den Haushalt einer von der obersten Bundesbehörde beauftragten Dienststelle abgegeben werden, wenn das automatisierte Verfahren in mehreren Dienststellen einheitlich eingesetzt wird.

1.1.1

Erklärung zum Einsatz eines automatisierten Verfahrens

(1) Die oder der zuständige Beauftragte für den Haushalt teilt der Bundeskasse mit dem Formular „Erklärung zum Einsatz eines automatisierten Verfahrens“ (Anlage 1) die

a)

Aufnahme des Wirkbetriebes (Verarbeitung von Echtdaten einschließlich des Pilotbetriebs),

b)

Änderungen bei einem bereits eingesetzten automatisierten Verfahren, die die Regelungen der Mindestanforderungen (Zweiter Abschnitt) betreffen,

c)

Verwendung einer neuen oder zusätzlichen elektronischen Schnittstelle zum HKR-Verfahren bei einem bereits eingesetzten automatisierten Verfahren oder

d)

Erledigung von Beanstandungen einer Prüfungsmitteilung des Bundesrechnungshofs im Rahmen des Einsatzes des automatisierten Verfahrens

mit.

(2) Mit der Erklärung nach Abs. 1 übernimmt die oder der zuständige Beauftragte für den Haushalt die Verantwortung dafür, dass das automatisierte Verfahren den fachlichen, organisatorischen und datenschutzrechtlichen Anforderungen entspricht und die Mindestanforderungen dieser Bestimmungen sowie die Regelungen zur VV-ZBR BHO vollständig eingehalten werden. Die oder der Beauftragte für den Haushalt nach Abs. 1 hat dafür Sorge zu tragen, dass von allen Stellen, die das automatisierte Verfahren einsetzen, die Bestimmungen vollständig eingehalten werden.

(3) Nach Abgabe der Erklärung wird für das automatisierte Verfahren eine BestMa-ID (siehe VerfRiBeS-HKR) vergeben.

(4) Sobald die Voraussetzungen für eine allgemeine Einwilligung nicht mehr vorliegen (Nr. 1 Abs. 2), verliert eine bereits abgegebene Erklärung ihre Gültigkeit. Dies gilt auch, wenn der Bundesrechnungshof in einer Prüfungsmitteilung Mängel bei der Einhaltung der Mindestanforderungen festgestellt hat. Festgestellte Mängel sind unverzüglich abzustellen.

(5) Das Bundesministerium der Finanzen entzieht den elektronischen Zugang zum HKR-Verfahren, wenn es Kenntnisse über wesentliche Mängel erhält und diese nicht in einer angemessenen Frist abgestellt werden.

1.1.2

Nachmeldung von Bewirtschaftern zu einer bestehenden Erklärung

Soll das automatisierte Verfahren, für das bereits eine Erklärung nach Nr. 1.1.1 abgegeben wurde, von weiteren Bewirtschaftern eingesetzt werden, sind diese mit dem Formular „Nachmeldung“ (Anlage 2) anzuzeigen. Für die Nachmeldung gelten die Regelungen der Nr. 1.1.1 sinngemäß.

1.1.3

Meldung zur Beendigung des Einsatzes eines automatisierten Verfahrens

(1) Die oder der zuständige Beauftragte für den Haushalt teilt der Bundeskasse zeitnah mit, wenn ein automatisiertes Verfahren, für das eine Erklärung Nr. 1.1.1 oder eine Nachmeldung nach Nr. 1.1.2 abgegeben wurde,

a)

nicht mehr eingesetzt wird oder

b)

von einem/mehreren Bewirtschaftern, die gemeldet wurden, nicht mehr genutzt wird.

(2) Die Meldung erfolgt durch ein formloses Schreiben unter Bezug auf die Erklärung und/oder Nachmeldung unter Angabe

a)

der Bewirtschafternummer(n),

b)

der BestMa-ID und

c)

dem Datum der Beendigung des Wirkbetriebes bzw. der Nutzung.

Zweiter Abschnitt - Mindestanforderungen

2

Weitere Voraussetzungen

(1) Die Empfehlungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik sowie notwendige Maßnahmen müssen vor Einführung des automatisierten Verfahrens bereits umgesetzt worden sein. Insbesondere dürfen nur dokumentierte, hinreichend getestete und freigegebene Programme eingesetzt werden. Im Bereich Datenverarbeitung sind bei der Softwareerstellung die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und –pflege sowie Verarbeitung so voneinander zu trennen, dass die Bediensteten jeweils nur in einem der Funktionsbereiche tätig sind. Ein Zugriff auf Programme, die sich im Wirkbetrieb befinden, muss für die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und -pflege ausgeschlossen sein.

(2) Die Verfahrensrichtlinien für Mittelverteiler und Titelverwalter für das automatisierte Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (VerfRiB-MV/TV-HKR) und die Verfahrensrichtlinie für die Nutzung der elektronischen Schnittstellen zum automatisierten Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (VerfRiBeS-HKR) sind anzuwenden.

(3) Außerdem ist für Zwecke der Rechnungsprüfung der lesende Zugriff auf das automatisierte Verfahren, die Verarbeitungsschritte und die Unterlagen zu gewährleisten.

3

Elektronische Schnittstellen

3.1

Übermittlung von Daten an das HKR-Verfahren aus einem einreichenden Verfahren

(1) Vor dem erstmaligen Einsatz des automatisierten Verfahrens und bei technischen und/oder organisatorischen Änderungen eines bereits eingesetzten automatisierten Verfahrens, die Auswirkungen auf die Buchungs- bzw. Anordnungsdaten haben, sind die Buchungs- bzw. Anordnungsdaten vom Bewirtschafter bei der Bundeskasse auf Ordnungsmäßigkeit der eingesetzten Schnittstelle zum HKR-Verfahren und Verarbeitungsfähigkeit prüfen zu lassen.

(2) Die Bundeskasse bescheinigt die erfolgreiche Prüfung dem Bewirtschafter schriftlich.

3.2

Übermittlung von Daten aus einem vorgelagerten in ein einreichendes Verfahren

(1) Bei der Übermittlung von Zahlungsverkehrs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle in ein einreichendes Verfahren muss gewährleistet sein, dass die Daten vollständig und unverändert übertragen werden. Für die vorgelagerten Verfahren gelten die Regelungen der Nr. 1.

(2) Liegen die Voraussetzungen des Abs. 1 nicht vor, sind die übernommenen zahlungsrelevanten Daten wie ungeprüfte Daten zu behandeln und anhand begründender Unterlagen nach Nr. 5 zu prüfen.

4

Vorgehen bei der Erfassung und Freigabe von Daten

(1) Folgende Bearbeitungsschritte sind zur Gewährleistung der Richtigkeit und Vollständigkeit der Daten in einem automatisierten Verfahren wahrzunehmen:

a)

Erfassung der Daten (Nr. 4.1)

b)

Abgleich der erfassten Daten (Nr. 4.2)

c)

Ausübung der Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO (Nr. 4.3)

d)

Freigabe zur weiteren Datenverarbeitung (Nr. 4.4)

(2) Eine Änderung der Daten ist ausschließlich bei der Erfassung Abs. 1 a) und Ausübung der Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO Abs. 1 c) zulässig.

(3) Für jedes automatisierte Verfahren ist eine Dienstanweisung zu erstellen, in der die Regelungen zu den Bearbeitungsschritten und den Verfahrensabläufen für die Beschäftigten aller beteiligten Stellen nachvollziehbar festzulegen sind.

4.1

Erfassung der Daten einschließlich Übernahme elektronischer Daten

(1) Die Erfassung der Daten ist die verarbeitungsgerechte Übernahme von Daten in ein automatisiertes Verfahren. Diese kann durch manuelle Eingabe von Daten aufgrund von begründenden Unterlagen oder durch Übernahme elektronischer Daten in das automatisierte Verfahren erfolgen.

(2) Die Erfassung und Änderung von zentralen zahlungsrelevanten Daten in einem automatisierten Verfahren dürfen nur mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen.

4.1.1

Übernahme elektronischer Daten bei Einnahmen

Die Erfassung von zahlungsrelevanten Daten für Einnahmen kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und automatisiert und ohne Veränderung weiterverarbeitet werden.

4.1.2

Übernahme elektronischer Daten bei Ausgaben

Die Erfassung von zahlungsrelevanten Daten für Ausgaben, die nicht als Bestimmungsgröße für eine gesetzliche oder vertragliche Zahlung (Auszahlung) dienen, kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und automatisiert und ohne Veränderung weiterverarbeitet werden.

4.1.3

Übernahme elektronischer Daten bei Steueranmeldeverfahren

Die Erfassung von Daten bei Steueranmeldeverfahren kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert und ohne Veränderung weiterverarbeitet werden. Für die dritten Personen können auch Bevollmächtigte handeln.

4.1.4

Übernahme elektronischer Daten von öffentlich rechtlichen Körperschaften

Die Erfassung von zahlungsrelevanten Daten einer zuständigen öffentlich rechtlichen Körperschaft, die aus rechtlichen Gründen geboten ist, kann auch durch die Übernahme dieser Daten auf elektronischem Wege erfolgen, wenn die Daten automatisiert und ohne Veränderung weiterverarbeitet werden. Dies gilt ausschließlich für Daten einer öffentlich rechtlichen Körperschaft, die nicht den Regelungen der Nr. 1 unterliegt.

4.2

Abgleich der erfassten Daten

(1) Erfasste zahlungsrelevante Daten müssen grundsätzlich von einer zweiten Person, die nicht an der Erfassung der Daten beteiligt war, vor der Freigabe zur weiteren Datenverarbeitung (Nr. 4.4) mit den begründenden Unterlagen vollständig abgeglichen werden. Es muss sichergestellt sein, dass die zum Abgleich zugelassene Person die erfassten zahlungsrelevanten Daten nicht verändern kann.

(2) Bei Übernahme elektronischer Daten ist durch automatische Plausibilitätsprüfungen sicherzustellen, dass eine ordnungsmäßige Erstellung von Unterlagen aufgrund der übernommenen Daten gewährleistet ist. Diese Daten bedürfen keines Abgleichs, wenn Änderungen zu keinem Zeitpunkt möglich sind.

4.3

Ausübung der Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO

(1) Vor der Freigabe zur weiteren Datenverarbeitung sind die Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO wahrzunehmen.

(2) Die Ausübung der Verantwortlichkeit, dass die auf Berechnungen beruhenden Angaben richtig sind (VV Nrn. 1.2.2.3 und 1.2.2.5 ZBR BHO), ist entbehrlich, wenn die Berechnung zahlungsrelevanter Daten vollständig automatisiert im Verfahren erfolgt. Dies ist in der Dienstanweisung zu dokumentieren.

(3) Die Ausübung der Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO ist entbehrlich, wenn Daten gemäß Nr. 4.1.1 bis Nr. 4.1.4 erfasst wurden.

4.4

Freigabe zur weiteren Datenverarbeitung (Prüfung)

(1) Die Freigabe (im Rahmen der Prüfung nach Nr. 5.2 und Nr. 5.3) zur weiteren Datenverarbeitung umfasst die Prüfung, dass die Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO von den dazu Berechtigten wahrgenommen und diese Verantwortlichkeiten ohne offensichtlich erkennbaren Fehler ausgeübt worden sind. Werden Fehler festgestellt, ist der Geschäftsvorfall nicht freizugeben.

(2) In den Fällen, bei denen die Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO nicht im automatisierten Verfahren, sondern vor der Erfassung nach Nr. 2.2 der Anlage 2 zur VV-ZBR BHO wahrgenommen werden, gilt der Abgleich (Nr. 4.2) als Freigabe zur weiteren Datenverarbeitung, wenn die Bearbeitungsschritte nach Nr. 4.1 und Nr. 4.2 von zwei unterschiedlichen Personen vollständig wahrgenommen werden.

(3) Die Freigabe zur weiteren Datenverarbeitung ist entbehrlich, wenn Daten gemäß Nr. 4.1.1 bis Nr. 4.1.4 erfasst wurden.

(4) Eine Änderung der freigegebenen Daten muss ausgeschlossen sein.

5

Gewährleistung der Richtigkeit und Vollständigkeit der Daten

Beim Einsatz von automatisierten Verfahren ist die Richtigkeit und Vollständigkeit der Daten durch die Wahrnehmung des Vier-Augen-Prinzips nach Nr. 5.1 sicherzustellen. Zusätzlich ist die Richtigkeit und Vollständigkeit der Daten durch programmtechnische Kontrollen zu gewährleisten.

5.1

Vier-Augen-Prinzip

Das Vier-Augen-Prinzip im Sinne dieser Bestimmung beinhaltet die Durchführung der Bearbeitungsschritte nach Nr. 4 durch mindestens zwei unterschiedliche Personen. Dabei müssen die von einer Person erfassten Daten von einer anderen Person abgeglichen werden. Zusätzlich darf die Person, die die Ausübung der Verantwortlichkeiten nach VV Nr. 1.2 ZBR BHO wahrnimmt, die Daten nicht zur weiteren Verarbeitung freigeben.

5.2

Vollständige Prüfung

Die Geschäftsvorfälle dürfen grundsätzlich nur nach Nr. 4.4 freigegeben werden, wenn die Bearbeitungsschritte nach Nrn. 4.1 bis 4.3 durchgeführt worden sind. Eine pauschale Freigabe der Geschäftsvorfälle ist nicht zulässig.

5.3

Ausnahme von der vollständigen Prüfung (Stichprobenprüfung)

5.3.1

Voraussetzungen

(1) Werden im Rahmen der Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO nur geringe haushaltswirtschaftliche Risiken festgestellt, kann die Freigabe nach Nr. 4.4 durch die zweite Person mit Ausnahme der unter Abs. 2 bis 3 genannten Fälle auf eine Stichprobenprüfung beschränkt werden.

(2) Eine Beschränkung auf Stichprobenprüfung ist ausgeschlossen bei

a)

Geschäftsvorfällen, die zu Zahlungen auf unbestimmte Zeit führen,

b)

Geschäftsvorfällen, die zu wiederkehrenden Zahlungen führen, die im voraussichtlichen Leistungszeitraum den Betrag von 15.000 Euro übersteigen,

c)

Einmalzahlungen über 5.000 Euro sowie

d)

Erfassung und Änderung von zentralen zahlungsrelevanten Daten.

(3) Eine Beschränkung auf Stichproben ist ebenfalls in den Fällen der Nummer 4.4 Abs. 2 ausgeschlossen.

(4) Die Zusammenfassung der Bearbeitungsschritte von Abgleich (Nr. 4.2) und Freigabe (Nr. 4.4) schließt eine Stichprobenprüfung nicht aus.

5.3.2

Auswahl der Stichprobe

(1) Anhand der Stichprobenprüfung müssen Informationen gewonnen werden können, die Rückschlüsse auf den Gesamtbestand der Geschäftsvorfälle zulassen. Deshalb muss die Auswahl der Geschäftsvorfälle für die Stichprobe dem Zufallsprinzip folgen. Zudem muss der Stichprobenumfang angemessen sein.

(2) In einem protokollierten Prüflauf mit unterschiedlichen Einstellungen der Parameter und Prüfquoten ist festzustellen, bei welcher Prüfquote die Kassensicherheit hinreichend gewährleistet ist. Die Testvorgaben müssen neben der Qualität der Fallbearbeitung auch die Missbrauchsprävention berücksichtigen. Die Wirksamkeit der Einstellungen ist mindestens einmal jährlich zu prüfen. Die Niederschrift über die erfolgte Prüfung ist zu den Akten zu nehmen.

(3) Von den zu einer Stichprobenprüfung (Nr. 5.3.1 Abs. 1) zugelassenen Geschäftsvorfällen müssen mindestens 5 % der Geschäftsvorfälle ausgewählt werden. Um auch bei geringen Fallzahlen aussagefähige Stichproben zu gewährleisten, ist unabhängig vom jeweiligen Prozentsatz eine Mindestanzahl von Geschäftsvorfällen in die Stichprobe einzubeziehen.

(4) Neben der zufallsbasierten Stichprobe muss es auch möglich sein, gezielt Geschäftsvorfälle durch Eingabe von Kriterien auszuwählen und zur Prüfung heranzuziehen. Die aus den Kriterien abgeleiteten Parameter und der Prüfumfang sind in der Dienstanweisung verbindlich festzulegen und systemtechnisch umzusetzen.

5.3.3

Durchführung der Stichprobenprüfung

(1) Alle Geschäftsvorfälle dürfen pauschal zur weiteren Datenverarbeitung nach Nr. 4.4 freigegeben werden, wenn in den als Stichprobe ausgewählten Geschäftsvorfällen keine Fehler festgestellt wurden.

(2) Werden bei der Prüfung der ausgewählten Geschäftsvorfälle Fehler festgestellt, so sind diese Fälle zurückzuweisen und berichtigen zu lassen. Die nicht geprüften Geschäftsvorfälle dürfen erst dann freigegeben werden, wenn die zur Fehlerkorrektur getroffenen Maßnahmen die Überzeugung rechtfertigen, dass Fehler in den verbleibenden Datensätzen nur geringe haushaltswirtschaftliche Risiken enthalten. Die zur Fehlerkorrektur getroffenen Maßnahmen sind zu dokumentieren.

(3) Die Stichprobenprüfung ist so rechtzeitig durchzuführen, dass alle Zahlungstermine, auch wenn Fehler berichtigt werden müssen, eingehalten werden können. Das konkrete Vorgehen bei der Feststellung von Fehlern ist in der Dienstanweisung unter Zuordnung der Verantwortlichkeiten zu beschreiben.

(4) Damit wechselnde Prüfkriterien realisiert werden können, muss das automatisierte Verfahren die freie Einstellung der Parameter und der Prüfquote ermöglichen. Änderungen der Einstellungen dürfen nur im Rahmen der Nr. 5.3.2 und mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen.

5.4

Datenverarbeitung

In der Datenverarbeitung werden aus den in das automatisierte Verfahren übernommenen und geprüften Daten Unterlagen erstellt. Die richtige und vollständige Datenverarbeitung ist zu dokumentieren. Gleiches gilt bei Störungen, die zum Abbruch der Datenverarbeitung geführt haben. Bei Störungen ist sicherzustellen, dass die bereits verarbeiteten Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen bzw. Mehrfachbuchungen kommt.

5.5

Datenfernübertragung

Bei Datenfernübertragung ist sicherzustellen, dass

a)

die Daten richtig und vollständig gesendet und empfangen werden,

b)

die Übertragung von Daten wiederholt werden kann und

c)

die Daten von Sende- und Empfangsdateien zeitnah visuell lesbar gemacht werden können.

Die zur Sicherung erforderlichen Maßnahmen sind in der Dienstanweisung festzulegen.

5.6

Abweichende Rechtsvorschriften

Die in Rechtsvorschriften des Bundes für automatisierte Verfahren getroffenen Regelungen bleiben unberührt. Abweichungen von den vorgenannten Mindestanforderungen (Zweiter Abschnitt) können nur im Einwilligungsverfahren zugelassen werden (siehe Anlage 3).

Dritter Abschnitt - Dokumentation und Schlussbestimmungen

6

Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes und Aufbewahrung

6.1

Dokumentation

Beim Einsatz von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes sind die folgenden Unterlagen zu erstellen und von der oder dem zuständigen Beauftragten für den Haushalt vorzuhalten:

a)

Verfahrensdokumentation nach VV Nrn. 6.1.2 und 6.2 ZBR BHO, Nrn. 4.1 und 4.2 der GoBIT-HKR,

b)

Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO und Nr. 5.3.1,

c)

Ordnungsmäßigkeitskonzept nach VV Nr. 6.4 ZBR BHO,

d)

Dienstanweisung nach Nrn. 4 Abs. 3, 4.3 Abs. 2, 5.3.2 Abs. 4, 5.3.3 Abs. 3, 5.5,

e)

Protokoll über die im Rahmen eines Testlaufs erfolgte Festlegung der Prüfquote nach Nr. 5.3.2 Abs. 2,

f)

Sicherheitskonzept einschließlich Datensicherungskonzept nach dem IT-Grundschutz des Bundesamtes für Sicherheit in der Informationstechnik,

g)

Erklärung über die Einhaltung der Mindestanforderungen (Anlage 1), ggf. Nachmeldung von Bewirtschaftern zu einer bestehenden Erklärung (Anlage 2) und ggf. Meldung zur Beendigung des Einsatzes eines automatisierten Verfahrens. Im Fall der Einwilligung nach VV Nr. 6.6.2 ZBR BHO: Einwilligung des BMF und Nachweis der Bewirtschafter, die das automatisierte Verfahren einsetzen.

6.2

Aufbewahrung

Die Dokumentation nach Nr. 6.1 GoBIT sowie die in Nr. 6.1 genannten Dokumente sind wie Belege nach VV Nr. 4.7.5 ZBR BHO aufzubewahren. Die Aufbewahrungsfrist beginnt mit Ablauf des Haushaltsjahres, in dem die Dokumente ihre Gültigkeit verlieren oder der Einsatz des automatisierten Verfahrens mit der letzten Zahlung beendet wird.

7

Schlussbestimmungen

Die geänderten Bestimmungen treten mit Veröffentlichung in Kraft und ersetzen die Bestimmungen vom 18. Oktober 2017.

Anlagen (nichtamtliches Verzeichnis)

Anlage 1: Erklärung zum Einsatz eines automatisierten Verfahrens

Anlage 2: Nachmeldung von Bewirtschaftern zu einer bestehenden Erklärung

Anlage 3: Allgemeine Erläuterungen zum Einwilligungsverfahren