Logo jurisLogo Bundesregierung

Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (BestMaVB-HKR)

Zurück zur Teilliste Bundesministerium der Finanzen





VV Nr. 6.7 für Zahlungen, Buchführung und Rechnungslegung
(§§ 70 bis 72 und 74 bis 80 BHO)



(Stand: 10/2017)

Geändert durch Rundschreiben vom 18.10.2017 - AZ: II A 2 - H 2300/06/10001 :009, DOK 2017/0876017 -



RdSchr. des BMF vom 14. Dezember 2016
(II A 2 - H 1005/13/10014 :001, DOK 2016/1134697



RdSchr. des BMF vom 18. Oktober 2017
(II A 2 - H 2300/06/10001 :009, DOK 2017/0876017



Inhaltsverzeichnis:

Erster Abschnitt Allgemeine Bestimmungen


1

Grundsatz

3

1.1

Mitteilungspflichten

3

1.1.1

Mitteilung über die beabsichtigte Einführung eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes (VV Nr. 6.6.1 ZBR BHO)

3

1.1.2

Erklärung zum Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungs-wesen des Bundes (HKR-Verfahren)

3

1.2

Zahlungsrelevante Daten

4


Zweiter Abschnitt Mindestanforderungen


2

Grundvoraussetzungen

5

3

Einsatz dokumentierter, freigegebener und gültiger Programme

5

4

Elektronische Schnittstellen

6

4.1

Übermittlung von Daten an das HKR-Verfahren

6

4.2

Übermittlung von Daten in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters

6

5

Gewährleistung der Richtigkeit und Vollständigkeit der erfassten und      
verarbeiteten Daten

6

5.1

Abgrenzung der Verantwortungsbereiche

7

5.1.1

Dienstanweisung

7

5.1.2

Bescheinigung der Verantwortungsbereiche

7

5.2

Vier-Augen-Prinzip

7

5.3

Datenerfassung

8

5.4

Prüfung vor Freigabe zur weiteren Datenverarbeitung

8

5.4.1

Vollständige Prüfung

9

5.4.2   

Stichprobenprüfung

9

5.5

Freigabe zur weiteren Datenverarbeitung

10

5.6

Datenverarbeitung

11

5.7

Zentrale zahlungsrelevante Daten

11

5.8

Nachweis von Datenbestandsänderungen

11

5.9

Datenfernübertragung

11

5.10

Abweichende Anwendung von Bestimmungen

11

6

Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

12


Dritter Abschnitt Dokumentation und Schlussbestimmungen


7

Schlussbestimmungen

  12





Erster Abschnitt Allgemeines



1 Grundsatz

(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes sind die Regelungen der VV Nr. 6.1 bis Nr. 6.5 für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO) - VV-ZBR BHO und die nachfolgenden Bestimmungen einzuhalten. Sofern diese Vorgaben vollständig eingehalten werden, gilt eine allgemeine Einwilligung nach VV Nr. 6.7.1 ZBR BHO als erteilt.

(2) Können in Ausnahmefällen diese Bestimmungen nicht vollständig eingehalten werden oder führt die Einhaltung der Bestimmungen zu einem nicht vertretbaren Aufwand, kann das Bundesministerium der Finanzen nach VV Nr. 6.6.2 ZBR BHO auf Antrag der oder des Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde seine Einwilligung zum Einsatz des Verfahrens erteilen. Im Antrag ist zu begründen, warum und welche Mindestanforderungen nicht eingehalten werden können und wie auf andere Art und Weise die Verfahrens- und Kassensicherheit gewährleistet werden soll (siehe Anlage 4 - Allgemeine Erläuterungen zum Einwilligungsverfahren). Das automatisierte Verfahren darf erst nach Einwilligung durch das Bundesministerium der Finanzen im Wirkbetrieb eingesetzt werden. In diesen Fällen bedarf es keiner Mitteilungen nach Nr. 1.1.

(3) Die Verfahrensrichtlinien für Mittelverteiler und Titelverwalter für das automatisierte Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (VerfRiB-MV/TV-HKR) und die Verfahrensrichtlinie für die Nutzung der elektronischen Schnittstellen zum automatisierten Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (VerfRiBeS-HKR) sind anzuwenden.



1.1 Mitteilungspflichten



1.1.1 Mitteilung über die beabsichtigte Einführung eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes (VV Nr. 6.6.1 ZBR BHO)

(1) Die oder der zuständige Beauftragte für den Haushalt teilt seiner zuständigen obersten Bundesbehörde und der zuständigen Bundeskasse die beabsichtigte Einführung eines automatisierten Verfahrens nach VV Nr. 6.1.1 ZBR BHO mit dem Formular „Mitteilung über die beabsichtigte Einführung eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes“ (Anlage 1) mit.

(2) Die Mitteilung kann zentral von der oder dem Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde bzw. von der oder dem Beauftragten für den Haushalt einer von der obersten Bundesbehörde beauftragten Dienststelle abgegeben werden, wenn das Verfahren in mehreren Dienststellen aufgrund einer einheitlichen Dienstanweisung nach Nr. 5.1.1 eingesetzt wird.



1.1.2 Erklärung zum Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes (HKR-Verfahren)

(1) Die oder der zuständige Beauftragte für den Haushalt teilt nach VV Nr. 6.7.3 ZBR BHO seiner zuständigen obersten Bundesbehörde und der zuständigen Bundeskasse mit dem Formular „Erklärung zum Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes“ (Anlage 2) die

a)
Aufnahme des Wirkbetriebes (Verarbeitung von Echtdaten einschließlich des Pilotbetriebs),
b)
technischen und/oder organisatorischen Änderungen, die die Regelungen der Nr. 5.1.2, Nr. 5.3 und Nr. 5.4 bei einem bereits eingesetzten automatisierten Verfahren betreffen,
c)
Verwendung einer neuen oder zusätzlichen elektronischen Schnittstelle zum HKR-Verfahren bei einem bereits eingesetzten automatisierten Verfahren oder
d)
Erledigung von Beanstandungen einer Prüfungsmitteilung des Bundesrechnungshofs im Rahmen des Einsatzes des Verfahrens

mit.

(2) Die Erklärung kann zentral von der oder dem Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde bzw. von der oder dem Beauftragten für den Haushalt einer von der obersten Bundesbehörde beauftragten Dienststelle abgegeben werden, wenn das Verfahren in mehreren Dienststellen aufgrund einer einheitlichen Dienstanweisung nach Nr. 5.1.1 eingesetzt wird.

(3) Mit der Erklärung nach Abs. 1 übernimmt die oder der zuständige Beauftragte für den Haushalt die Verantwortung dafür, dass das automatisierte Verfahren den fachlichen, organisatorischen und datenschutzrechtlichen Anforderungen entspricht und die Mindestanforderungen dieser Bestimmungen sowie die Regelungen zur VV-ZBR BHO vollständig eingehalten werden. Die oder der Beauftragte für den Haushalt nach Abs. 1 hat dafür Sorge zu tragen, dass von allen Stellen, die das Verfahren einsetzen, die Bestimmungen vollständig eingehalten werden.

(4) Weitere Stellen, die ein automatisiertes Verfahren einsetzen wollen, für das bereits eine Erklärung nach Abs. 1 abgegeben wurde, sind mit formlosen Schreiben unter Angabe der Bewirtschafternummer, des Namens des eingesetzten automatisierten Verfahrens, des Datums des erstmaligen Wirkbetriebes bei dieser Stelle und der Bewirtschafternummern der ursprünglichen Erklärung nachzumelden. Das Schreiben ist von der oder dem zuständigen Beauftragten für den Haushalt gem. Abs. 1 zu unterzeichnen.

(5) Das automatisierte Verfahren darf erst nach Abgabe der Erklärung beim Einsatz über ein automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes eingesetzt werden.

(6) Die Erklärung verliert ihre Gültigkeit, sobald die Voraussetzungen für eine allgemeine Einwilligung nicht mehr vorliegen (Nr. 1 Abs. 1).



1.2 Zahlungsrelevante Daten

Zahlungsrelevante Daten im Sinne dieser Bestimmungen sind alle für die Anordnung von Zahlungen notwendigen Angaben, insbesondere Bestimmungsgrößen für gesetzliche oder vertragliche Zahlungen (Ein- und Auszahlungen), Name des Zahlungsempfängers oder -pflichtigen, Betrag und Bankverbindung.



Zweiter Abschnitt Mindestanforderungen



2 Grundvoraussetzungen

(1) Die Mindestanforderungen regeln im Einzelnen, welche Sicherheitsanforderungen im Haushalts-, Kassen- und Rechnungswesen zusätzlich zu den allgemein einzuhaltenden Bestimmungen beim Einsatz von automatisierten Verfahren eingehalten werden müssen.

(2) Werden andere automatisierte Verfahren gem. Nr. 1.2 der Anlage 1 zur VV-ZBR BHO im Haushalts-, Kassen- und Rechnungswesen eingesetzt, sind die folgenden Grundvoraussetzungen der Verfahrens- und Kassensicherheit einzuhalten:

a)
Verantwortungsabgrenzung und Verantwortungszuordnung,
(Trennung der Erfassung von zahlungsrelevanten Daten und Prüfung/Freigabe dieser Daten sowie Feststellung und Anordnung; Unveränderbarkeit festgestellter oder angeordneter Daten)
b)
Förmlichkeit,
(Verwendung vorgeschriebener elektronischer Schnittstellen, Aufbau der Datensätze)
c)
Prüfbarkeit und
(Vorhandensein und Aufbewahrung prüfbarer Unterlagen, eindeutige Zuordnung der prüfbaren Unterlagen zu den durchgeführten Zahlungen)
d)
Nachvollziehbarkeit und Dokumentation der einzelnen Verantwortungsbereiche.

(3) Außerdem ist für Zwecke der Rechnungsprüfung der lesende Zugriff auf das Verfahren, die Verarbeitungsschritte und die Unterlagen zu gewährleisten.

(4) Im Bereich Datenverarbeitung sind bei der Softwareerstellung die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und –pflege sowie Verarbeitung so voneinander zu trennen, dass die Bediensteten jeweils nur in einem der Funktionsbereiche tätig sind. Ein Zugriff auf Programme, die sich im Wirkbetrieb befinden, muss für die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und -pflege ausgeschlossen sein.



3 Einsatz dokumentierter, freigegebener und gültiger Programme

(1) Beim Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen und Rechnungswesen des Bundes dürfen nur dokumentierte, hinreichend getestete und freigegebene Programme eingesetzt werden. Dabei müssen die Empfehlungen des IT-Grundschutz-Katalogs des Bundesamtes für Sicherheit in der Informationstechnik und notwendige Maßnahmen vor Einführung des Verfahrens bereits umgesetzt worden sein (z. B. IT-Sicherheitskonzept einschließlich Zugangs- und Zugriffskontrollen, Betriebshandbuch, ggf. Datenschutzkonzept, Freigabeprozess usw.).

(2) Durch regelmäßige Prüfungen in einem Zeitraum von mindestens 24 Monaten ist durch die nach Nr. 1.1.2 zuständige Beauftragte oder den zuständigen Beauftragen für den Haushalt sicherzustellen, dass die Mindestanforderungen eingehalten werden. Sie oder er kann die Prüfung durch eine verantwortliche Person durchführen lassen, die keine am Verfahren nach Nr. 2 Abs. 4 beteiligte Person sein darf. Die durchgeführten Prüfungen sowie ggf. festgestellte Fehler und die Maßnahmen zur Fehlerbehebung sind von der oder dem zuständigen Beauftragten für den Haushalt zu dokumentieren. Fehler sind zeitnah zu beseitigen.



4 Elektronische Schnittstellen



4.1 Übermittlung von Daten an das HKR-Verfahren

(1) Die Zahlungsverkehrs-, Buchungs- und Anordnungsdaten sind über die vorgeschriebenen elektronischen Schnittstellen zu übermitteln.

(2) Vor dem erstmaligen Einsatz des automatisierten Verfahrens und bei technischen und/oder organisatorischen Änderungen eines bereits eingesetzten automatisierten Verfahrens, die Auswirkungen auf die Buchungs- bzw. Anordnungsdaten haben, sind die Buchungs- bzw. Anordnungsdaten vom Bewirtschafter bei der zuständigen Bundeskasse auf Ordnungsmäßigkeit der eingesetzten Schnittstelle zum HKR-Verfahren und Verarbeitungsfähigkeit prüfen zu lassen. Die für die Schnittstelle verwendeten Datensätze müssen für

a)
Zahlungsdaten den Vorgaben des Bundesministeriums der Finanzen in der jeweils gültigen Fassung und für
b)
Buchungs- und Anordnungsdaten den Vorgaben des Bundesministeriums der Finanzen für das HKR-Verfahren (Datensatzbeschreibungen der entsprechenden elektronischen Schnittstellen)

entsprechen. In den Buchungs- und Anordnungsdaten dürfen nur die in der VerfRiBeS-HKR zugelassenen Zeichen verwendet werden.

(3) Die zuständige Bundeskasse bescheinigt die nach Abs. 2 erfolgreiche Prüfung dem Bewirtschafter schriftlich.



4.2 Übermittlung von Daten in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters

(1) Bei der Übermittlung von Zahlungsverkehrs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters muss gewährleistet sein, dass die Daten vollständig und unverändert übertragen werden. Für die vorgelagerten Verfahren gelten die Regelungen der Nr. 1.

(2) Liegen die Voraussetzungen des Abs. 1 nicht vor, sind die übernommenen zahlungsrelevanten Daten wie ungeprüfte Daten zu behandeln und anhand begründender Unterlagen nach Nr. 5.4 zu prüfen.



5 Gewährleistung der Richtigkeit und Vollständigkeit der erfassten und verarbeiteten Daten

Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist durch organisatorische und programmtechnische Kontrollen, insbesondere durch Prüferfassung, Bildung von Kontrollsummen, Plausibilitätskontrollen und Verwendung von Prüfziffern, die Richtigkeit und Vollständigkeit der Datenerfassung und der Datenverarbeitung sicherzustellen.



5.1 Abgrenzung der Verantwortungsbereiche



5.1.1 Dienstanweisung

Für jedes automatisierte Verfahren ist eine Dienstanweisung zu erstellen, in der die Verantwortungsbereiche (Verantwortungsabgrenzung und –zuordnung, siehe Nr. 2 Abs. 2 a) der für das automatisierte Verfahren zugelassenen Personen nach VV Nr. 1.2 ZBR BHO nachvollziehbar festgelegt sind. Es muss dabei sichergestellt sein, dass keine Person an einem einzelnen Geschäftsvorfall maßgebend beteiligt ist, die auch an einer Anordnung zur Zahlung oder Buchung maßgebend beteiligt ist.



5.1.2 Bescheinigung der Verantwortungsbereiche

5.1.2.1 Bescheinigung der ordnungsmäßigen Wahrnehmung

(1) Werden die Verantwortungsbereiche gem. Nr. 1.2 der VV ZBR BHO und die Anordnung (Freigabe zur weiteren Datenverarbeitung) ausschließlich im automatisierten Verfahren wahrgenommen, ist die Ordnungsmäßigkeit jeweils mit einem systemseitig revisionssicheren Nachweis unter Angabe des Datums, der Uhrzeit und der Benutzerkennung zu dokumentieren. Es muss erkennbar sein, welcher Verantwortungsbereich wahrgenommen worden ist. In allen anderen Fällen sind die Regelungen der Nr. 2.2 der Anlage 2 zur VV ZBR BHO anzuwenden.

(2) Die Nachweise der ordnungsmäßigen Wahrnehmung der Verantwortungsbereiche müssen zeitnah für Zwecke der Rechnungsprüfung zur Verfügung gestellt werden können.



5.1.2.2 Verantwortlichkeit für die Richtigkeit der eingegebenen Daten

Die Personen, die Daten erfassen, sind für die Richtigkeit der eingegebenen Daten nur dann verantwortlich, wenn eine Veränderung der Daten durch Dritte oder durch das Verfahren selbst ausgeschlossen ist. Die technischen Anlagen des automatisierten Verfahrens müssen deshalb organisatorisch und programmtechnisch so geschützt werden, dass nur die verantwortlichen Bearbeiter Daten eingeben oder verändern können.



5.2 Vier-Augen-Prinzip

(1) Das Vier-Augen-Prinzip im Sinne dieser Bestimmung beinhaltet die Wahrnehmung der Verantwortungsbereiche nach Nr. 1.2 VV ZBR BHO (Feststellung; im Sinne der Nr. 2.2.2 und Nr. 2.2.3 der Anlage 2 zur VV-ZBR BHO) sowie die Datenprüfung bzw. Freigabe zur weiteren Datenverarbeitung (Anordnung; im Sinne der Nr. 2.2.4 der Anlage 2 zur VV-ZBR BHO) durch zwei unterschiedliche Personen.

(2) Die Bescheinigung zur Feststellung der rechnerischen Richtigkeit in einem automatisierten Verfahren ist entbehrlich, wenn die Berechnung zahlungsrelevanter Daten vollständig automatisiert im Verfahren erfolgt. Dies ist in der Dienstanweisung zu dokumentieren. Bereits bei Teilberechnungen außerhalb des Verfahrens ist die Feststellung der rechnerischen Richtigkeit zu bescheinigen. Die Bescheinigungen zur Feststellung der sachlichen und rechnerischen Richtigkeit dürfen zusammengefasst werden.

(3) Die Regelungen für die allgemein erteilten Kassenanordnungen gelten nicht.

(4) Die Bescheinigung zur Feststellung der sachlichen Richtigkeit und die Ausübung der Anordnungsbefugnis im Rahmen der Sammelanordnung gem. den Regelungen der VerfRiBeS-HKR bleiben davon unberührt und sind nicht Bestandteil des Vier-Augen-Prinzips im Sinne dieser Bestimmung.



5.3 Datenerfassung

(1) Die Datenerfassung ist die verarbeitungsgerechte Übernahme von Daten in ein automatisiertes Verfahren, um diese Daten nach der Freigabe gem. Nr. 5.5 weiter zu verarbeiten (Nr. 5.6). Sie kann durch Eingabe von Daten aufgrund von begründenden Unterlagen in Papierform oder durch Übernahme elektronischer Daten in das automatisierte Verfahren erfolgen.

(2) Die Übernahme der zahlungsrelevanten Daten in ein automatisiertes Verfahren erfolgt nach Nr. 5.2.

(3) Die ordnungsmäßige Datenerfassung ist nach Nr. 5.1.2 zu bescheinigen.

(4) Die Datenerfassung für Einnahmen kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert, d. h. ohne weitere manuelle Bearbeitung weiterverarbeitet werden. Dies setzt eine systemtechnische Prüfung der Datenermittlung voraus. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsmäßige Erstellung von Unterlagen aufgrund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 5.1.2 kann bei dieser Art der Datenerfassung verzichtet werden. Diese Daten bedürfen keiner Prüfung, wenn eine Änderung zu keinem Zeitpunkt möglich ist.

(5) Die Datenerfassung von zahlungsrelevanten Daten für Ausgaben, die nicht als Bestimmungsgröße für eine gesetzliche oder vertragliche Zahlung (Auszahlung) dienen (z. B. Kontoverbindung, Anschrift), kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert, d. h. ohne weitere manuelle Bearbeitung, weiterverarbeitet werden. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsmäßige Erstellung von Unterlagen aufgrund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 5.1.2 kann bei dieser Art der Datenerfassung verzichtet werden. Diese Daten bedürfen keiner Prüfung, wenn eine Änderung zu keinem Zeitpunkt möglich ist.

(6) Im Falle einer nicht ordnungsmäßigen Beendigung des automatisierten Verfahrens (z. B. durch Stromausfall oder Programmabsturz) ist der zuletzt bearbeitete Geschäftsvorfall dahingehend zu kontrollieren, ob die vorgegebenen Daten richtig und vollständig gespeichert wurden.



5.4 Prüfung vor Freigabe zur weiteren Datenverarbeitung

(1) Daten, die in ein automatisiertes Verfahren nach Nr. 5.3 übernommen worden sind, müssen im Rahmen des Vier-Augen-Prinzips nach Nr. 5.2 Abs. 1 von einer zweiten Person vor der Freigabe (Nr. 5.5) zur weiteren Datenverarbeitung geprüft werden, die nicht an der Erfassung der Daten beteiligt war. Es muss sichergestellt sein, dass die zur Prüfung zugelassene Person die erfassten Daten nicht verändern kann. Die Prüfung ist nach Nr. 5.1.2.1 zu bescheinigen.

(2) Stellt die zur Prüfung zugelassene Person Fehler fest, müssen die Daten vor der Freigabe zur weiteren Verarbeitung von einer zur Feststellung zugelassenen Person berichtigt werden. Die berichtigten Daten sind nochmals gem. Abs. 1 zu prüfen.

(3) Daten, die nach Nr. 5.3 Abs. 4 und 5 erfasst wurden, bedürfen keiner Prüfung.

(4) Werden Daten nach Nr. 5.3 Abs. 2 durch Übernahme von elektronischen Daten in das automatisierte Verfahren übernommen, ist sicherzustellen, dass die Voraussetzungen der Abs. 1 bis 3 erfüllt sind. Die Prüfung der Daten nach Abs. 1 vor der Übernahme in das automatisierte Verfahren ist mit einem systemseitig revisionssicheren Nachweis gem. Nr. 5.1.2.1 zu dokumentieren.

(5) Nach der Freigabe (Prüfung) muss sichergestellt werden, dass die Daten nicht mehr verändert werden können.

(6) Im Rahmen der Erklärung zum Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen- und Rechnungswesen des Bundes (Anlage 2) ist die vollständige oder ggf. stichprobenweise Prüfung im Feld „Prüfung der erfassten Daten“ zu bescheinigen.



5.4.1 Vollständige Prüfung

Grundsätzlich sind alle erfassten zahlungsrelevanten Daten anhand der begründenden Unterlagen vollständig zu prüfen. Eine pauschale Freigabe von zu prüfenden Geschäftsvorfällen ist nicht zulässig.



5.4.2 Stichprobenprüfung

5.4.2.1 Allgemeine Voraussetzungen

(1) Werden im Rahmen der Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO und des Ordnungsmäßigkeitskonzepts nach VV Nr. 6.4 ZBR BHO nur geringe haushaltswirtschaftliche Risiken festgestellt, kann die Prüfung durch die zweite Person mit Ausnahme der unter Abs. 2 bis 3 genannten Fälle auf eine Stichprobenprüfung beschränkt werden. In diesen Fällen ist eine pauschale Freigabe der nicht zu prüfenden Geschäftsvorfälle nach erfolgreicher Prüfung zulässig.

(2) Eine Beschränkung auf Stichproben ist ausgeschlossen bei

a)
Geschäftsvorfällen, die zu Zahlungen auf unbestimmte Zeit führen,
b)
Geschäftsvorfällen, die zu wiederkehrenden Zahlungen führen, die im voraussichtlichen Leistungszeitraum den Betrag von 7.500 Euro übersteigen sowie
c)
Einmalzahlungen über 2.500 Euro.

(3) Eine Beschränkung auf Stichproben ist ebenfalls ausgeschlossen, wenn die Erfassung von Daten und die anschließende Prüfung dieser Daten auf Richtigkeit ohne eine Bescheinigung zur Feststellung der sachlichen und ggf. rechnerischen Richtigkeit sowie die Ausübung der Anordnungsbefugnis erfolgt. In diesen Fällen sind alle erfassten Daten nach Nr. 5.4.1 zu prüfen.



5.4.2.2 Durchführung der Prüfung

(1) Von denen zur Stichprobenprüfung nach Nr. 5.4.2.1 Abs. 1 zugelassenen Geschäftsvorfällen müssen mindestens 5 % anhand der begründenden Unterlagen zufallsbasiert durch eine zweite Person nach Nr. 5.4 Abs. 1 geprüft werden. Um auch bei geringen Fallzahlen aussagefähige Stichproben zu gewährleisten, ist unabhängig vom jeweiligen Prozentsatz eine Mindestzahl von Geschäftsvorfällen in die Stichprobe einzubeziehen.

(2) Neben der zufallsbasierten Stichprobe muss es auch möglich sein, gezielt Geschäftsvorfälle durch Eingabe von Kriterien auszuwählen und zur Prüfung heranzuziehen. Solche Kriterien können z. B. sein:

a)
Kostenarten,
b)
Fallgruppen,
c)
Mitarbeiter oder
d)
Geschäftsvorfälle mit hoher Fehleranfälligkeit.

(3) Werden bei der Prüfung der ausgewählten Geschäftsvorfälle Fehler festgestellt, so sind diese Fälle zurückzuweisen und zu berichtigen (siehe hierzu 5.4 Abs. 2). Werden Fehler mit finanziellen Auswirkungen festgestellt, ist aus dem Restbestand eine weitere Stichprobe in gleichem Umfang zu prüfen. Dieser Vorgang ist so lange zu wiederholen, bis eine fehlerfreie Stichprobe vorliegt. Die restlichen Fälle dürfen erst dann freigegeben werden, wenn die Prüfungsergebnisse die Überzeugung rechtfertigen, dass keine weiteren Fehler mit finanzieller Auswirkung in den Datensätzen enthalten sind. Die Stichprobenprüfung und die Fehlerkorrektur sind so rechtzeitig durchzuführen, dass Zahlungstermine unter Berücksichtigung eingehalten werden können. Das konkrete Vorgehen bei der Feststellung von Fehlern ist in der Dienstanweisung zu beschreiben; die Verantwortlichkeiten sind festzulegen.



5.4.2.3 Dokumentation in der Dienstanweisung

(1) Die aus den Kriterien abgeleiteten Parameter und der Prüfumfang sind in der Dienstanweisung verbindlich festzulegen und systemtechnisch umzusetzen. Damit wechselnde Prüfkriterien realisiert werden können, muss das automatisierte Verfahren die freie Einstellung der Parameter und der Prüfquote ermöglichen. Änderungen der Einstellungen dürfen nur im Rahmen der Nr. 5.4.1 und mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen. Sie sind in einer Datei systemseitig revisionssicher zu protokollieren.

(2) In einem protokollierten Prüflauf mit unterschiedlichen Einstellungen der Parameter und Prüfquoten ist festzustellen, bei welcher Prüfquote die Kassensicherheit hinreichend gewährleistet ist. Die Testvorgaben müssen neben der Qualität der Fallbearbeitung auch die Missbrauchsprävention berücksichtigen. Die Wirksamkeit der Einstellungen ist mindestens einmal jährlich zu prüfen. Die Niederschrift über die erfolgte Prüfung ist vom Bewirtschafter zu den Akten zu nehmen.



5.5 Freigabe zur weiteren Datenverarbeitung

(1) Nach Nr. 5.3 in ein automatisiertes Verfahren übernommene Daten dürfen nur dann zur Datenverarbeitung freigegeben werden, wenn sie nach Nr. 5.4 geprüft wurden.

(2) Die Freigabe zur Datenverarbeitung kann mit der Prüfung zusammengefasst werden.

(3) Werden Daten nach Nr. 5.2 Abs. 4 erfasst, deren Feststellung der sachlichen und ggf. rechnerischen Richtigkeit nach der Nr. 2.2.2 und Nr. 2.2.3 der Anlage 2 zur VV-ZBR BHO und Anordnung nach Nr. 2.2.4 der Anlage 2 zur VV-ZBR BHO auf den begründenden Unterlagen in Papierform bescheinigt bzw. erteilt wurde, dann gilt in diesen Fällen die Prüfung dieser Daten nach Nr. 5.4.1 als Freigabe zur Datenverarbeitung.

(4) Eine Änderung der freigegebenen Daten muss ausgeschlossen sein. Die Freigabe ist mit einem systemseitig revisionssicheren Nachweis gem. Nr. 5.1.2.1 zu dokumentieren.



5.6 Datenverarbeitung

In der Datenverarbeitung werden aus den in das automatisierte Verfahren übernommenen und geprüften Daten unter Einsatz gültiger, geprüfter und freigegebener Programme Unterlagen bzw. Dateien erstellt. Die richtige und vollständige Datenverarbeitung ist in den Arbeitsablaufunterlagen zu dokumentieren. Gleiches gilt bei Störungen, die zum Abbruch der Datenverarbeitung geführt haben. Bei Störungen ist sicherzustellen, dass die bereits verarbeiteten Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen bzw. Mehrfachbuchungen kommt.



5.7 Zentrale zahlungsrelevante Daten

Bei Erfassung und Änderung von zentralen zahlungsrelevanten Daten in einem automatisierten Verfahren ist nach Nr. 5.4.1 zu verfahren. Änderungen der Einstellungen dürfen nur mit Zustimmung der oder des Beauftragten für den Haushalt bzw. einer oder eines Bevollmächtigten erfolgen. Sie sind in einer Datei systemseitig revisionssicher zu protokollieren. Zentrale zahlungsrelevante Daten sind z. B. zentrale Daten in Tabellen, welche einen zentralen Einfluss auf die zahlungsrelevanten Daten haben (z. B. Besoldungstabellen) oder zentrale Eingabefelder für Berechnungsgrößen (z. B. Solidaritätszuschlag). Diese Daten haben immer Einfluss auf Zahlungsgruppen und nicht nur auf z. B. eine bestimmte Zahlung.



5.8 Nachweis von Datenbestandsänderungen

(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass jede Veränderung von Daten nachvollziehbar ist; auch eine Veränderung aufgrund einer Kumulierung von Datensätzen muss stets nachvollziehbar sein.

(2) Sämtliche Veränderungen der Daten eines Geschäftsvorfalls müssen durch geeignete Maßnahmen nachgewiesen werden und kurzfristig zur Verfügung gestellt werden können. Der Nachweis muss wenigstens folgende Daten enthalten:

a)
den eindeutig gekennzeichneten Geschäftsvorfall,
b)
das Datum, die Uhrzeit und die Benutzerkennung der Mitarbeiterin oder des Mitarbeiters, die oder der die Erfassung bzw. die Änderung vorgenommen hat sowie
c)
die erfassten und geänderten Daten mit altem und neuem Stand.


5.9 Datenfernübertragung

Bei Datenfernübertragung ist sicherzustellen, dass

a)
die Daten richtig und vollständig gesendet und empfangen werden,
b)
die Übertragung von Daten wiederholt werden kann und
c)
die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.

Die zur Sicherung erforderlichen Maßnahmen sind in der Dienstanweisung festzulegen.



5.10 Abweichende Anwendung von Bestimmungen

Die in Rechts- oder Verwaltungsvorschriften des Bundes über die Durchführung von Automationsvorhaben, über den Datenschutz und die Datensicherung getroffenen Regelungen bleiben unberührt.



Dritter Abschnitt Dokumentation und Schlussbestimmungen



6 Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

Beim Einsatz von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes sind die folgenden Unterlagen zu erstellen und von der oder dem zuständigen Beauftragten für den Haushalt nach Nr. 1.1.2 vorzuhalten:

a)
Verfahrensdokumentation nach VV Nrn. 6.1.2 und 6.2 ZBR BHO, Nrn. 4.1 und 4.2 der Anlage 1 zur VV-ZBR BHO,
b)
Gefährdungsanalyse nach VV Nr. 6.3 ZBR BHO und 5.4.2.1,
c)
Ordnungsmäßigkeitskonzept nach VV Nr. 6.4 ZBR BHO,
d)
Dienstanweisung zur Regelung der Verfahrensabläufe und der Verantwortungsbereiche bei allen beteiligten Stellen (siehe Nr. 6.4.3 der Anlage 1 zur VV-ZBR BHO und Nrn. 2 Abs. 2 a) und 2 d), 5.1.1, 5.2 Abs. 2, 5.4.2.3 sowie 5.9,
e)
Protokoll über die im Rahmen eines Testlaufs erfolgte Festlegung der Prüfquote (Nr. 5.4.2.3 Abs. 2),
f)
Sicherheitskonzept einschließlich Datensicherungskonzept nach dem IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik,
g)
Mitteilung über automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (Anlage 1),
h)
Erklärung über die Einhaltung der Mindestanforderungen, bezogen auf die gültige Programmversion (Anlage 2).


7 Schlussbestimmungen

Die geänderten Bestimmungen treten mit Veröffentlichung in Kraft und ersetzen die Bestimmungen vom 8. April 2014.



Vierter Abschnitt Anlagen



Anlage 1

Mitteilung über den beabsichtigten Einsatz von automatisierten Verfahren im    
Haushalts-, Kassen- und Rechnungswesen des Bundes

Anlage 2

Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz von automatisierten Verfahrens

Anlage 3

Übersicht der obersten Bundesbehörden

Anlage 4

Allgemeine Erläuterungen zum Einwilligungsverfahren




Anlagen (nichtamtliches Verzeichnis)

Anlage: Bezugsrundschreiben, RdSchr. des BMF vom 14.12.2016

Anlage: Erste Änderung, RdSchr. des BMF vom 18.10.2017

Anlage 1: Mitteilung über den beabsichtigten Einsatz von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

Anlage 2: Einsatz von automatisierten Verfahrens

Anlage 3: Übersicht der obersten Bundesbehörden

Anlage 4: Allgemeine Erläuterungen zum Einwilligungsverfahren