Logo jurisLogo Bundesregierung

Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (BestMaVB - HKR)

Zurück zur Teilliste Bundesministerium der Finanzen

E-VSF: H 08 90





Bestimmungen über die Mindestanforderungen für den Einsatz automatisierter Verfahren
im Haushalts-, Kassen- und Rechnungswesen des Bundes
(BestMaVB-HKR)





VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung der BHO
(§§ 70 bis 72 und 74 bis 80BHO )



(03/09)





Zum Rundschreiben des BMF vom 23. März 2009 bezüglich der Neufassung der BestMaVB-HKR



Zur Synopse der redaktionellen Änderungen



Inhaltsverzeichnis:



Erster Abschnitt

Allgemeine Bestimmungen


1

Anwendungsbereich und Verfahren

4

1.1

Automatisiertes Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (HKR-Verfahren)

4

1.2

Andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

4

1.3

Verantwortlichkeit der obersten Bundesbehörden

4

1.4

Mitteilungspflichten

5

1.4.1

Mitteilung über beabsichtigte Verfahren

5

1.4.2

Mitteilung über die Aufnahme des Wirkbetriebes

5

2

Begriffsbestimmungen

5

2.1

Unterlagen

5

2.2

Begründende Unterlagen

6

2.3

Kassenanordnung und Kassenanweisung

6

2.4

Bewirtschafter

6







Zweiter Abschnitt

Mindestanforderungen


3

Grundvoraussetzungen

6

4

Einsatz dokumentierter, freigegebener und gültiger Programme

7

5

Elektronische Schnittstellen

7

5.1

Übermittlung von Daten

7

5.2

Schnittstelle zum HKR-Verfahren

7

5.2.1

Prüfung der elektronischen Schnittstelle auf Ordnungsmäßigkeit

7

5.2.2

Prüfung der Buchungs- bzw. Anordnungsdaten auf Verarbeitungsfähigkeit

8

5.2.3

Prüfung der Zahlungsdaten auf Verarbeitungsfähigkeit

8

5.2.4

Verschlüsselung von Anordnungs- und Zahlungsdatenträgern

8

6

Gewährleistung der Richtigkeit und Vollständigkeit der erfassten und verarbeiteten Daten

8

6.1

Abgrenzung der Verantwortungsbereiche

8

6.1.1

Dienstanweisung


6.1.2

Dokumentation der Verantwortungsbereiche

8

6.1.3

Pflicht zur Bescheinigung der Verantwortungsbereiche

9

6.1.3.1

Bescheinigung der ordnungsmäßigen Wahrnehmung

9

6.1.3.2

Feststellung der sachlichen und rechnerischen Richtigkeit

9

6.1.3.3

Verantwortlichkeit für die Richtigkeit der eingegebenen Daten

9

6.1.3.4

Vier-Augen-Prinzip

9

6.1.4

Ausnahme von der Pflicht zur Bescheinigung der Verantwortungsbereiche

10

6.2

Ermittlung, Erfassung und Verarbeitung von Daten in einem automatisierten Verfahren

10

6.2.1

Datenermittlung

10

6.2.2

Datenerfassung

10

6.2.2.1

Übernahme von Daten in das automatisierte Verfahren

10

6.2.2.2

Bescheinigung der ordnungsmäßigen Datenerfassung

11

6.2.2.3

Nicht ordnungsmäßige Beendigung des automatisierten Verfahrens

11

6.2.3

Zusammenfassung von Datenermittlung und -erfassung

11

6.2.4

Prüfung der erfassten Daten

11

6.2.5

Stichprobenprüfung

11

6.2.5.1

Allgemeine Voraussetzungen

11

6.2.5.2

Dokumentation in der Dienstanweisung

12

6.2.5.3

Feststellung von Fehlern bei der Prüfung

12

6.2.6

Beschränkung auf Stichprobenprüfung in besonderen Fällen

13

6.2.7

Freigabe zur Datenverarbeitung

13

6.2.8

Zusammenfassung der Prüfung und Freigabe der Daten

13

6.2.9

Datenverarbeitung

13

6.2.10

Stammdaten

13

6.3

Zugangs- und Zugriffskontrollen

14

6.3.1

Passwortschutz

14

6.3.2

Bildschirmschutz

14

6.3.3

Abgestufte Zugriffsberechtigung

14

6.4

Nachweis von Datenbestandsänderungen

14

6.5

Sicherung des Datenbestandes

15

6.5.1

Sicherungskopien

15

6.5.2

Aufbewahrung der Daten

15

6.6

Festlegung und Abgrenzung der Aufgaben und Verantwortungsbereiche der am Verfahren
beteiligten Personen

15

6.6.1

Trennung von Programmentwicklung, Abnahme und Einsatz des automatisierten Verfahrens

15

6.6.2

Trennung der Funktionsbereiche bei im Einsatz befindlichen automatisierten Verfahren

16

6.7

Datenfernübertragung

16

6.8

Übertragung von Aufgaben auf Stellen außerhalb der Bundesverwaltung

16

6.9

Abweichende Anwendung von Bestimmungen

16




Dritter Abschnitt

Dokumentation und Schlussbestimmung


7

Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (Nr. 1.2)

17

8

Schlussbestimmungen

17




Vierter Abschnitt

Anlagen


Anlage 1

Muster der Mitteilung über den beabsichtigten Einsatz von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes Muster der Mitteilung über die Aufnahme des Wirkbetriebs von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

18

Anlage 2

Muster der Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz von automatisierten Verfahren

20

Anlage 3

Zeichentabelle

21

Anlage 4

Übersicht der obersten Bundesbehörden

22





Erster Abschnitt Allgemeine Bestimmungen

Anwendungsbereich und Verfahren
Beim Einsatz von automatisierten Verfahren im Haushalts- Kassen und Rechnungswesen des Bundes sind die nachfolgenden Bestimmungen einzuhalten. Werden diese Bestimmungen eingehalten, verzichtet das Bundesministerium der Finanzen im Einvernehmen mit dem Bundesrechnungshof nach VV Nr. 6.6 für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO) auf das Einwilligungsverfahren nach VV Nr. 6.5.2 für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO). Können in begründeten Ausnahmefällen diese Bestimmungen nicht eingehalten werden, kann das Bundesministerium der Finanzen im Einvernehmen mit dem Bundesrechnungshof nach Nr. 6.5.2 der VV für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO) seine Einwilligung zum Einsatz des Verfahrens erteilen. Im Antrag ist ausführlich zu begründen, warum und welche Mindestanforderungen nicht eingehalten werden können und wie auf andere Art und Weise die Verfahrens- und Kassensicherheit gewährleistet wird.


1.1
Automatisiertes Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (HKR-Verfahren)
Die Haushaltsmittel des Bundes sind in dem vom Bundesministerium der Finanzen zugelassenen automatisierten Verfahren für das Haushalts-, Kassen- und Rechnungswesen (HKR-Verfahren) sowie den dazugehörigen Vorverfahren zu bewirtschaften. Die Bewirtschaftung von Haushaltsmitteln umfasst alle Maßnahmen zur Mittelverteilung und Mittelverwendung sowie die erforderlichen Buchungen. Maßnahmen der Mittelverwendung sind insbesondere die Festlegung von Haushaltsmitteln und die Leistung oder Annahme von Zahlungen.


1.2
Andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes
Stellen, die Bundesmittel bewirtschaften, können zur Berechnung und Festsetzung von Zahlungen, zur Erstellung von begründenden Unterlagen und Kassenanordnungen oder zur Zahlbarmachung andere automatisierte Verfahren im Haushalts- Kassen- und Rechnungswesen des Bundes einsetzen. Diese Verfahren müssen über eine elektronische Schnittstelle zum HKR-Verfahren oder über eine elektronische Schnittstelle zu anderen automatisierten Verfahren mit einer elektronischen Schnittstelle zum HKR-Verfahren verfügen.


1.3
Verantwortlichkeit der obersten Bundesbehörden
Die zuständige oberste Bundesbehörde hat die Einhaltung dieser Bestimmungen sicherzustellen. Werden Haushaltsmittel des Bundes durch Landes- oder Kommunaldienststellen bewirtschaftet, ist auch das zuständige Landesministerium im Rahmen seiner Fachaufsicht zu beteiligen.


1.4
Mitteilungspflichten


1.4.1
Mitteilung über beabsichtigte Verfahren
Der Bewirtschafter teilt seiner zuständigen obersten Bundesbehörde, dem Bundesministerium der Finanzen und dem Bundesrechnungshof über die zuständige Bundeskasse die beabsichtigte Einführung eines automatisierten Verfahrens nach Nr. 6.1.1 der VV für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 72 und 74 bis 80 BHO) mit dem Muster in Anlage 1 mit. Das Bundesministerium der Finanzen und der Bundesrechnungshof sind über beabsichtigte Verfahren so rechtzeitig zu unterrichten, dass sie die Gestaltung der Verfahren beeinflussen können (Nr. 6.5.1 der VV für Zahlungen, Buchführung und Rechnungslegung [§§ 70 bis 72 und 74 bis 80 BHO])


1.4.2
Mitteilung über die Aufnahme des Wirkbetriebes
(1) Der Bewirtschafter teilt der zuständigen obersten Bundesbehörde und der zuständigen Bundeskasse die Aufnahme des Wirkbetriebs oder die Verwendung einer neuen oder zusätzlichen elektronischen Schnittstelle bei einem bereits eingesetzten automatisierten Verfahren mit dem Muster in Anlage 1 mit. Der Mitteilung über die Aufnahme des Wirkbetriebs ist die Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz von automatisierten Verfahren mit dem Muster in Anlage 2 beizufügen. Die Mitteilung über die Aufnahme des Wirkbetriebs oder die Verwendung einer neuen oder zusätzlichen elektronischen Schnittstelle bei einem bereits eingesetzten automatisierten Verfahren ist von der oder dem zuständigen Beauftragten für den Haushalt zu unterzeichnen.
(2) Die Mitteilung über die Aufnahme des Wirkbetriebs oder die Verwendung einer neuen oder zusätzlichen elektronischen Schnittstelle bei einem bereits eingesetzten automatisierten Verfahren sowie die Erklärung über die Einhaltung der Mindestanforderungen kann zentral von der oder dem Beauftragten für den Haushalt der zuständigen obersten Bundesbehörde oder einer von der obersten Bundesbehörde beauftragten Dienststelle abgegeben werden.


Begriffsbestimmungen


2.1
Unterlagen
Unterlagen im Sinne dieser Bestimmungen sind alle elektronischen oder schriftlichen Nachweise, die für eine ordnungsmäßige Buchführung und die Rechnungslegung benötigt werden. Insbesondere gehören dazu die begründenden Unterlagen sowie die Kassenanordnungen und Kassenanweisungen.


2.2
Begründende Unterlagen
Begründende Unterlagen sind Unterlagen, die Zweck und Anlass der Erstellung einer Kassenanordnung oder Kassenanweisung zweifelsfrei erkennen lassen.


2.3
Kassenanordnung und Kassenanweisung
-
Kassenanordnung
Mit elektronischen oder schriftlichen Kassenanordnungen in der vom Bundesministerium der Finanzen vorgeschriebenen Form werden gegenüber einer Kasse oder Zahlstelle die Leistung oder Annahme von Zahlungen sowie die erforderlichen Buchungen angeordnet.
-
Kassenanweisung
Mit elektronischen oder schriftlichen Kassenanweisungen in der vom Bundesministerium der Finanzen vorgeschriebenen Form werden einer Kasse oder Zahlstelle nicht buchungspflichtige Weisungen erteilt.


2.4
Bewirtschafter
Bewirtschafter sind alle an der Bewirtschaftung von Haushaltsmitteln des Bundes beteiligten Stellen. Dazu gehören
-
Mittelverteiler (MV) und
-
Titelverwalter (TV).




Zweiter Abschnitt Mindestanforderungen

Die Mindestanforderungen regeln im Einzelnen, welche Sicherheitsanforderungen beim Einsatz von automatisierten Verfahren eingehalten werden müssen.





Grundvoraussetzungen
(1) Werden andere automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen (Nr. 1.2) von Bewirtschaftern eingesetzt, sind die folgenden Grundvoraussetzungen der Verfahrens- und Kassensicherheit einzuhalten:
-
Verantwortungsabgrenzung und Verantwortungszuordnung
(Vier-Augen-Prinzip, Trennung von Feststellung und Anordnung, Unveränderbarkeit festgestellter oder angeordneter Daten)
-
Förmlichkeit
(Verwendung vorgeschriebener Druckbilder, Aufbau der Datensätze)
-
Prüfbarkeit
(Vorhandensein und Aufbewahrung prüfbarer Unterlagen, eindeutige Zuordnung der prüfbaren Unterlagen zu den durchgeführten Zahlungen)
-
Nachvollziehbarkeit und Dokumentation der einzelnen Verantwortungsbereiche
(2) Außerdem ist für Zwecke der Rechnungsprüfung der Zugriff auf das Verfahren, die Verarbeitungsschritte und die Unterlagen zu gewährleisten.




Einsatz dokumentierter, freigegebener und gültiger Programme
Beim Einsatz eines automatisierten Verfahrens im Haushalts-, Kassen und Rechnungswesen des Bundes dürfen nur dokumentierte, freigegebene und gültige Programme eingesetzt werden. Mit der Erklärung über die Einhaltung der Mindestanforderungen übernimmt die oder der zuständige Beauftragte für den Haushalt die Verantwortung dafür, dass das automatisierte Verfahren den fachlichen, organisatorischen und datenschutzrechtlichen Anforderungen entspricht.




Elektronische Schnittstellen


5.1
Übermittlung von Daten
Zahlungsverkehrs-, Buchungs- und Anordnungsdaten, die mit einer elektronischen Schnittstelle in das HKR-Verfahren oder in ein anderes automatisiertes Verfahren im Haushalts-, Kassen- und Rechnungswesen eines Bewirtschafters übermittelt werden, sind mindestens mit einer nach dem Signaturgesetz zugelassenen fortgeschrittenen elektronischen Signatur zu versehen. Das Bundesministerium der Finanzen kann im Einvernehmen mit dem Bundesrechnungshof eine andere Sicherungsmaßnahme zulassen.
5.2
Schnittstelle zum HKR-Verfahren
Die aus einem automatisierten Verfahren erstellten Aufträge zur Leistung oder Annahme von Zahlungen sowie Buchungen sind mit den vom Bundesministerium der Finanzen vorgeschriebenen elektronischen Schnittstellen anzuordnen. Es gelten die Bestimmungen der Verfahrensrichtlinie für den Einsatz von Druckbildern als elektronische Schnittstelle für das automatisierte Verfahren für das Haushalts-, Kassen- und Rechnungswesen des Bundes (VerfRiBeS-HKR).


5.2.1
Prüfung der elektronischen Schnittstelle auf Ordnungsmäßigkeit
Vor dem erstmaligen Einsatz des automatisierten Verfahrens prüfen die Bundeskassen oder das Kompetenzzentrum für das Kassen- und Rechnungswesen des Bundes die Ordnungsmäßigkeit der eingesetzten Schnittstelle zum HKR-Verfahren in eigener Zuständigkeit anhand der jeweils gültigen Bestimmungen. Die für die Schnittstelle verwendeten Datensätze müssen für
-
Zahlungsdatenträger den Vorgaben des Bundesministeriums der Finanzen in der jeweils gültigen Fassung und für
-
Buchungs- und Anordnungsdatenträger den Vorgaben des Bundesministeriums der Finanzen für das HKR-Verfahren (Datensatzbeschreibungen der entsprechenden elektronischen Schnittstellen)
entsprechen. In den Buchungs- und dürfen nur solche Zeichen verwendet werden, die in der Anlage 3 aufgeführt sind.


5.2.2
 Prüfung der Buchungs- bzw. auf Verarbeitungsfähigkeit
Vor dem erstmaligen Einsatz des automatisierten Verfahrens sind die Buchungs- bzw. vom Bewirtschafter bei der dafür vom Bundesministerium der Finanzen zugelassenen Stelle auf ihre Verarbeitungsfähigkeit prüfen zu lassen. Die Bescheinigung der zugelassenen Stelle, dass die Buchungs- bzw. einwandfrei verarbeitet werden konnten, ist der zuständigen Bundeskasse beim erstmaligen Einsatz des automatisierten Verfahrens vorzulegen.


5.2.3
Prüfung der Zahlungsdaten auf Verarbeitungsfähigkeit
Vor dem erstmaligen Einsatz des automatisierten Verfahrens sind vom Bewirtschafter die Zahlungsdaten über die zuständige Bundeskasse auf Verarbeitungsfähigkeit prüfen zu lassen.


5.2.4
 Verschlüsselung von Anordnungs- und Zahlungsdatenträgern
Anordnungs- und Zahlungsdatenträger sind aus Sicherheitsgründen mit der vom Bundesministerium der Finanzen zugelassenen Software zu verschlüsseln. Der Einsatz einer anderen gleichwertigen Verschlüsselungssoftware bedarf der Einwilligung des Bundesministeriums der Finanzen.




Gewährleistung der Richtigkeit und Vollständigkeit der erfassten und verarbeiteten Daten
Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist durch organisatorische und programmtechnische Kontrollen, insbesondere durch Prüferfassung, Bildung von Kontrollsummen, Plausibilitätskontrollen und Verwendung von Prüfziffern, die Richtigkeit und Vollständigkeit der Datenerfassung und der Datenverarbeitung sicherzustellen.


6.1
Abgrenzung der Verantwortungsbereiche


6.1.1
 Dienstanweisung
Für jedes automatisierte Verfahren hat der zuständige Bewirtschafter eine Dienstanweisung (Nr.1.2) zu erstellen, in der die Verantwortungsbereiche der für das automatisierte Verfahren zugelassenen Personen nach Nr. 1.2 der VV für Zahlungen, Buchführung und Rechnungslegung der BHO festgelegt sind. Die Bestimmungen der Anlage zu Nr. 9.2 der VV für Zahlungen, Buchführung und Rechnungslegung der BHO gelten entsprechend. Es muss dabei sichergestellt sein, dass nicht eine Person an einem einzelnen Geschäftsvorfall maßgebend beteiligt ist, die auch an einer Anordnung zur Zahlung oder Buchung maßgebend beteiligt ist.


6.1.2
Dokumentation der Verantwortungsbereiche
Die in der Dienstanweisung festgelegten Verantwortungsbereiche und Zugriffsberechtigungen sind von der oder dem zuständigen Beauftragten für den Haushalt den verantwortlichen Personen zu übertragen. Die Übertragung ist in der Dienstanweisung zu dokumentieren. In dem automatisierten Verfahren muss sichergestellt sein, dass die an einem einzelnen Geschäftsvorfall beteiligten Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und ggf. der Uhrzeit dokumentiert werden.


6.1.3
Pflicht zur Bescheinigung der Verantwortungsbereiche


6.1.3.1
 Bescheinigung der ordnungsmäßigen Wahrnehmung
Die Bescheinigung der ordnungsmäßigen Wahrnehmung der Verantwortungsbereiche ist in den Unterlagen gem. Nr. 2.2 der Anlage zur VV Nr. 9.2 zu dokumentieren. Aus der Bescheinigung muss erkennbar sein, welcher Verantwortungsbereich wahrgenommen worden ist. Die Bescheinigung kann auch auf andere Weise abgegeben werden, wenn dabei sichergestellt ist, dass die an einem einzelnen Geschäftsvorfall beteiligten Personen und der Umfang der von ihnen jeweilig wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und ggf. der Uhrzeit systemtechnisch dokumentiert werden. Dies gilt auch für die Bescheinigung der ordnungsmäßigen Datenerfassung.


6.1.3.2
 Feststellung der sachlichen und rechnerischen Richtigkeit
Die Feststellung der sachlichen Richtigkeit und die Feststellung der rechnerischen Richtigkeit (Nr. 2.2.2 und 2.2.3 der Anlage zur VV Nr. 9.2) können in den begründenden Unterlagen zusammengefasst werden.


6.1.3.3
 Verantwortlichkeit für die Richtigkeit der eingegebenen Daten
Die Bearbeiter oder Feststeller sind für die Richtigkeit der eingegebenen Daten nur dann verantwortlich, wenn eine Veränderung der Daten durch unbefugte Dritte oder durch das Verfahren selbst ausgeschlossen ist. Die technischen Anlagen des automatisierten Verfahrens müssen deshalb organisatorisch und programmtechnisch so geschützt werden, dass nur die verantwortlichen Bearbeiter Daten eingeben oder verändern können.


6.1.3.4
Vier-Augen-Prinzip
Verfügt das automatisierte Verfahren über eine unmittelbare Schnittstelle zum HKR-Verfahren, sind nur die vorgeschriebenen elektronischen Schnittstellen zugelassen. Die sachliche Richtigkeit und die Anordnungsbefugnis (Nr. 2.2.4 der Anlage zu Nr. 9.2 der VV für Zahlungen, Buchführung und Rechnungslegung der BHO) sind zur Wahrung des Vier-Augen-Prinzips immer durch zwei Personen festzustellen. Die Regelungen für die allgemein erteilten Kassenanordnungen gelten nicht (Rundschreiben - Allgemeine Kassenanordnung Nr. 1.1.2 der VV für Zahlungen, Buchführung und Rechnungslegung der BHO)


6.1.4
Ausnahme von der Pflicht zur Bescheinigung der Verantwortungsbereiche
Werden Unterlagen ganz oder teilweise in dem automatisierten Verfahren erstellt, gilt die Abgabe der Erklärung über die Einhaltung der Mindestanforderungen für das automatisierte Verfahren als Feststellung der rechnerischen Richtigkeit für das Ergebnis von Berechnungen.


6.2
Ermittlung, Erfassung und Verarbeitung von Daten in einem automatisierten Verfahren


6.2.1
Datenermittlung
Die Datenermittlung ist das Sammeln, Zuordnen, Verschlüsseln und die erfassungsgerechte Aufbereitung von Daten anhand von begründenden Unterlagen. Für die richtige, vollständige und rechtzeitige Ermittlung und Aufbereitung der Daten ist der zuständige Bewirtschafter verantwortlich. Die ordnungsmäßige Datenermittlung ist in den begründenden Unterlagen im Rahmen der Nr. 6.1.3 zu bescheinigen.


6.2.2
Datenerfassung


6.2.2.1
Übernahme von Daten in das automatisierte Verfahren
Die Datenerfassung ist die verarbeitungsgerechte Übernahme von ermittelten Daten in ein automatisiertes Verfahren, um diese Daten weiter zu verarbeiten. Sie kann durch manuelle oder andere Eingabe von Daten schriftlicher Unterlagen oder durch Übernahme elektronischer Daten in das automatisierte Verfahren erfolgen. Es dürfen nur solche Daten erfasst werden, deren sachliche und ggf. auch rechnerische Richtigkeit zuvor festgestellt wurde. Es muss sichergestellt sein, dass die Rechnungsprüfung den Zusammenhang zwischen den ermittelten und den erfassten Daten erkennen kann.
Die Datenerfassung für Einnahmen kann auch durch die Übernahme von Daten dritter Personen auf elektronischem Wege erfolgen, wenn die Daten ausschließlich die dritten Personen betreffen und ausschließlich automatisiert, d. h. ohne weitere manuelle Bearbeitung, weiterverarbeitet werden. Dies setzt eine systemtechnische Prüfung der Datenermittlung voraus. Dabei muss sichergestellt sein, dass durch automatische Plausibilitätsprüfungen eine ordnungsmäßige Erstellung von Unterlagen aufgrund der erfassten Daten gewährleistet ist. Auf die Bescheinigung nach Nr. 6.1.3 kann bei dieser Art der Datenerfassung verzichtet werden.


6.2.2.2
Bescheinigung der ordnungsmäßigen Datenerfassung
Die ordnungsmäßige Datenerfassung ist in den begründenden Unterlagen oder sonstigen Datenerfassungsbelegen im Rahmen der Nr. 6.1.3 zu bescheinigen.


6.2.2.3
Nicht ordnungsmäßige Beendigung des automatisierten Verfahrens
Im Falle einer nicht ordnungsmäßigen Beendigung des automatisierten Verfahrens (z. B. durch Stromausfall oder Programmabsturz) ist der zuletzt bearbeitete Fall nochmals aufzurufen und zu kontrollieren, ob die vorgegebenen Daten richtig und vollständig gespeichert wurden.


6.2.3
Zusammenfassung von Datenermittlung und -erfassung
Die Datenermittlung und die Datenerfassung sowie die dafür notwendigen Bescheinigungen dürfen zusammengefasst werden. Die Nr. 6.2.1 und 6.2.2 gelten entsprechend.


6.2.4
Prüfung der erfassten Daten
Die erfassten Daten, insbesondere die zahlungsrelevanten Daten (z. B. Bestimmungsgrößen für gesetzliche oder vertragliche Leistungen, Name des Zahlungsempfängers, Betrag, Kontonummer und Bankleitzahl), sind anhand der begründenden Unterlagen oder der sonstigen Datenerfassungsbelege von einer zweiten Person zu prüfen, die weder an der Ermittlung noch an der Erfassung der Daten beteiligt war. Es muss sichergestellt sein, dass die zur Prüfung zugelassene Person die erfassten Daten nicht verändern kann. Stellt die zur Prüfung zugelassene Person Abweichungen zwischen den ermittelten und den erfassten Daten fest, müssen die Daten vor der Freigabe von einer zur Datenerfassung zugelassenen Person berichtigt werden. Für die Bescheinigung der Prüfung gelten die Bestimmungen der Nr. 6.1.3.1. Daten, die nach Nr. 6.2.2.1.2 erfasst wurden, bedürfen keiner Prüfung.


6.2.5
Stichprobenprüfung
Eine Beschränkung auf Stichproben ist grundsätzlich ausgeschlossen bei
-
Geschäftsvorfällen, die zu Zahlungen auf unbestimmte Zeit führen,
-
Geschäftsvorfällen, die zu wiederkehrenden Zahlungen führen, die im voraussichtlichen Leistungszeitraum den Betrag von 7.500 € übersteigen sowie
-
Einmalzahlungen über 2.500 €.


6.2.5.1
 Allgemeine Voraussetzungen
(1) Unterstützt das automatisierte Verfahren die Datenermittlung und Datenerfassung durch hinreichende Plausibilitätsprüfungen und ist eine Beendigung der Dateneingabe erst nach Erledigung der automatischen Korrekturaufforderungen möglich, kann sich die Prüfung durch die zweite Person auf zufallsorientiert ausgewählte Stichproben beschränken.
(2) Neben der zufallsorientiert ermittelten Stichprobe muss es auch möglich sein, gezielt Geschäftsvorfälle durch Eingabe von Kriterien auszuwählen und zur Prüfung heranzuziehen. Solche Kriterien können z. B. sein:
-
Kostenarten,
-
Fallgruppen,
-
Mitarbeiter oder
-
Geschäftsvorfälle mit hoher Fehleranfälligkeit.
(3) Mindestens 5 % der neuen oder geänderten Geschäftsvorfälle müssen anhand der begründenden Unterlagen zufallsorientiert geprüft werden. Um auch bei geringen Fallzahlen aussagefähige Stichproben zu gewährleisten, muss unabhängig vom jeweiligen Prozentsatz eine Mindestzahl von Geschäftsvorfällen in die Stichprobe einbezogen werden. Im Rahmen der Mitteilung über die Aufnahme des Wirkbetriebes (Nr. 1.4.2) sind die Kriterien der stichprobenweisen Prüfung und der Prüfumfang zu beschreiben.


6.2.5.2
Dokumentation in der Dienstanweisung
(1) Die aus den Kriterien abgeleiteten Parameter und der Prüfumfang sind in der Dienstanweisung verbindlich festzulegen und systemtechnisch umzusetzen. Damit wechselnde Prüfkriterien realisiert werden können, muss das automatisierte Verfahren die freie Einstellung der Parameter und der Prüfquote ermöglichen. Änderungen der Einstellungen dürfen nur mit Zustimmung der oder des Beauftragten für den Haushalt bzw. eines Bevollmächtigten erfolgen und sind in einer Datei zu protokollieren.
(2) In einem protokollierten Prüflauf mit unterschiedlichen Einstellungen der Parameter und Prüfquoten ist festzustellen, bei welcher Prüfquote die Kassensicherheit hinreichend gewährleistet ist. Die Testvorgaben müssen neben der Qualität der Fallbearbeitung auch die Missbrauchsprävention berücksichtigen. Die Wirksamkeit der Einstellungen ist mindestens einmal jährlich zu prüfen. Die Niederschrift über die erfolgte Prüfung ist vom Bewirtschafter zu den Akten zu nehmen.


6.2.5.3
Feststellung von Fehlern bei der Prüfung
Werden bei der Prüfung der ausgewählten Fälle Fehler festgestellt, so sind diese Fälle zurückzuweisen und zu berichtigen. Werden Fehler mit finanziellen Auswirkungen festgestellt, ist aus dem Restbestand eine weitere Stichprobe in gleichem Umfang zu prüfen. Dieser Vorgang ist so lange zu wiederholen, bis eine fehlerfreie Stichprobe vorliegt. Die restlichen Fälle dürfen erst dann freigegeben und zur Zahlung angeordnet werden, wenn die Prüfungsergebnisse die Überzeugung rechtfertigen, dass keine weiteren Fehler mit finanzieller Auswirkung in den Datensätzen enthalten sind. Die fehlerhaften Fälle sind nach Berichtigung erneut der Prüfung zuzuführen. Die Stichprobenprüfung und die Fehlerkorrektur sind so rechtzeitig durchzuführen, dass Zahlungstermine unter Berücksichtigung von Postlaufzeiten sowie Bearbeitungszeiten bei den Bundeskassen eingehalten werden können.


6.2.6
Beschränkung auf Stichprobenprüfung in besonderen Fällen
(1) Wenn in dem automatisierten Verfahren die Kriterien der Nr. 6.2.5.1 nicht erfüllt werden können, die umfassende Prüfung durch eine zweite Person zu einem nicht vertretbaren Aufwand führt und die Kassensicherheit auf andere Weise gewährleistet wird, kann das Bundesministerium der Finanzen im Einvernehmen mit dem Bundesrechnungshof auch eine Stichprobenprüfung zulassen.
(2) Im Antrag ist ausführlich zu begründen warum die Kriterien nicht eingehalten werden können und die Prüfung zu einem nicht vertretbaren Aufwand führt. In der Dienstanweisung ist festzulegen, in welcher Weise die Kassensicherheit gewährleistet wird. Dabei ist sicherzustellen, dass Manipulationen an den zu bearbeitenden Daten sowie Fehler bei der Anwendung materiellen Rechts frühzeitig erkannt und wirkungsvoll unterbunden werden.


6.2.7
Freigabe zur Datenverarbeitung
Nach der Prüfung dürfen die Daten zur Datenverarbeitung freigegeben werden. Eine Änderung der geprüften Daten durch die für die Datenfreigabe zugelassene Person muss ausgeschlossen sein. Eine pauschale Freigabe von stichprobenweisen geprüften Daten ist nicht zulässig. Es muss systemtechnisch sichergestellt sein, dass die Freigabe unter Angabe der freigebenden Person, des Datums und der Uhrzeit eindeutig, dauerhaft und unveränderlich dokumentiert wird.


6.2.8
Zusammenfassung der Prüfung und Freigabe der Daten
Die Prüfung und Freigabe der Daten sowie die dafür notwendigen Bescheinigungen dürfen zusammengefasst werden. Die Nr. 6.2.4 und 6.2.7 gelten entsprechend.


6.2.9
Datenverarbeitung
In der Datenverarbeitung werden aus den in das automatisierte Verfahren übernommenen Daten unter Einsatz gültiger, geprüfter und freigegebener Programme Unterlagen erstellt. Die richtige und vollständige Datenverarbeitung bzw. Störungen, die zum Abbruch der Datenverarbeitung geführt haben, sind in den Arbeitsablaufunterlagen zu bescheinigen. Bei Störungen ist sicherzustellen, dass die bereits verarbeiteten Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen bzw. Mehrfachfachbuchungen kommt.


6.2.10
Stammdaten
Bei Erfassung und Änderung von Stammdaten in einem automatisierten Verfahren ist sinngemäß zu verfahren.


6.3
Zugangs- und Zugriffskontrollen
Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass die Zugangs- und Zugriffskontrolle gewährleistet ist und in den Arbeitsablauf nicht unbefugt eingegriffen werden kann.


6.3.1
Passwortschutz
Der Zugang zum Verfahren ist durch ein Passwort zu schützen. Der Passwortschutz muss mindestens aus folgenden Elementen bestehen:
-
Kontosperrungsschwelle höchstens 3 Versuche,
-
wenigstens sechs unterschiedliche alphanumerische Zeichen,
-
Gültigkeit des jeweiligen Passwortes höchstens 30 Tage und
-
Sperrung der in den letzten sechs Monaten verwendeten Passwörter für die Wiederverwendung.
Passwörter dürfen nicht hinterlegt oder durch Systemprogrammierer oder Systemverwalter eingesehen werden können. Davon ausgenommen sind Generalsystempasswörter, die sicher hinterlegt werden dürfen. Das Passwort in Systemdateien muss verschlüsselt gespeichert werden. Bei Verlust des Passwortes ist ein Initialisierungspasswort zu vergeben, welches dann vom Anwender bei der ersten Anmeldung durch sein persönliches Passwort zu ersetzen ist.


6.3.2
Bildschirmschutz
Um unbefugte Zugriffe auf das Verfahren bzw. die Datenbestände zu erschweren, muss ferner sichergestellt werden, dass die Bildschirme nach einer Zeit von höchstens 10 Minuten ohne Eingabe über die Tastatur inaktiv geschaltet werden. Die Freischaltung des Bildschirms darf nur durch das Passwort des Benutzers möglich sein. Nach einer inaktiven Zeit von insgesamt höchstens 30 Minuten muss der Benutzer automatisch aus dem System abgemeldet werden.


6.3.3
Abgestufte Zugriffsberechtigung
Die Zugriffsberechtigung zum Verfahren muss eindeutig geregelt sein und darf nur derart erteilt werden, dass der jeweilige Nutzer nur Zugang zu den Programmteilen hat, die er zur Erledigung seiner Aufgaben benötigt. Durch den Systemverwalter muss jederzeit nachgewiesen werden können, wer zu welcher Zeit zu welchen Programmen Zugriff hatte. Dies gilt auch für die Dauer der Aufbewahrungsfrist.


6.4
Nachweis von Datenbestandsänderungen
(1) Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass jede Veränderung von Daten nachvollziehbar ist; auch eine Veränderung aufgrund einer Kumulierung von Datensätzen muss stets nachvollziehbar sein.
(2) Sämtliche Veränderungen der Daten eines Geschäftsvorfalles müssen durch geeignete Maßnahmen nachgewiesen werden (z.B. anhand einer Datenbankfunktion, Protokolldatei oder eines Verarbeitungsprotokolls). Der Nachweis muss wenigstens folgende Daten enthalten:
-
den eindeutig gekennzeichneten Geschäftsvorfall,
-
das Datum, die Uhrzeit und die Benutzerkennung des Mitarbeiters, der die Änderung vorgenommen hat sowie
-
die geänderten Daten mit altem und neuem Stand.


6.5
Sicherung des Datenbestandes
Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass Vorkehrungen gegen einen Verlust und eine unbefugte Veränderung der gespeicherten Daten (Dateien und Verarbeitungsprogramme) getroffen sind.


6.5.1
Sicherungskopien
Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass der Daten- und Programmbestand gegen Zerstörung, Beschädigung und unberechtigte Verwendung regelmäßig gesichert wird. Die Sicherungskopien dürfen nicht im selben Brandabschnitt, in dem sich die technischen Anlagen des automatisierten Verfahrens befinden, aufbewahrt werden.


6.5.2
Aufbewahrung der Daten
Für die Aufbewahrung der Programme und deren Dokumentationen, des Datenbestandes, der elektronischen Protokolle der Datenbestandsänderungen (Nr. 6.5), der Aufzeichnungen des Systemverwalters über die Einstellungen der Parameter und Prüfquoten zur Durchführung der Stichprobenprüfung (Nr. 6.2.5) sowie der Zugriffsberechtigungen (Nr. 6.3) gelten die Aufbewahrungsbestimmungen für das Haushalts-, Kassen- und Rechnungswesen des Bundes. Hinsichtlich der Sicherung des Datenbestandes vor unbefugten Veränderungen gelten die Bestimmungen der Nr. 6.5.


6.6
Festlegung und Abgrenzung der Aufgaben und Verantwortungsbereiche der am Verfahren beteiligten Personen
Beim Einsatz von automatisierten Verfahren im Haushalts-, Kassen und Rechnungswesen des Bundes ist sicherzustellen, dass die Aufgaben- und Verantwortungsbereiche der am Verfahren Beteiligten festgelegt und gegeneinander abgegrenzt sind.


6.6.1
Trennung von Programmentwicklung, Abnahme und Einsatz des automatisierten Verfahrens
Die Programmdateien müssen in den Phasen Entwicklung, Abnahme und Einsatz so gesichert sein, dass Programmierer nur Zugang zu den Programmen haben, die sich in der Entwicklungsphase befinden.


6.6.2
Trennung der Funktionsbereiche bei im Einsatz befindlichen automatisierten Verfahren
Im Bereich Datenverarbeitung sind bei der Softwareerstellung die Funktionsbereiche Systemprogrammierung, Verfahrensentwicklung und -pflege, bei zentraler Datenverarbeitung zusätzlich die Arbeitsvorbereitung und Arbeitsnachbereitung sowie Verarbeitung so voneinander zu trennen, dass die Bediensteten jeweils nur in einem der Funktionsbereiche tätig sind. Falls dies nicht möglich ist, sind Sicherungsvorkehrungen gegen Manipulationen und unbefugten Zugriff zu treffen.


6.7
Datenfernübertragung
Bei Datenfernübertragung ist sicherzustellen, dass
-
die Daten richtig und vollständig gesendet und empfangen werden,
-
die Übertragung von Daten wiederholt werden kann und
-
die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.
Die zur Sicherung erforderlichen Maßnahmen sind in der Dienstanweisung festzulegen.


6.8
Übertragung von Aufgaben auf Stellen außerhalb der Bundesverwaltung
Werden automatisierte Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes ganz oder teilweise auf Stellen außerhalb der Bundesverwaltung zur Durchführung übertragen, ist sicherzustellen, dass die Regelungen dieser Bestimmungen eingehalten werden.


6.9
Abweichende Anwendung von Bestimmungen
Die in Rechts- oder Verwaltungsvorschriften des Bundes über die Durchführung von Automationsvorhaben, über den Datenschutz und die Datensicherung getroffenen Regelungen bleiben unberührt.




Dritter Abschnitt Dokumentation und Schlussbestimmungen





Dokumentation von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes (Nr. 1.2)
Beim Einsatz von anderen automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes sind folgende Unterlagen zu erstellen und beim Bewirtschafter aufzubewahren:
Verfahrensbeschreibung
(kurz gefasste und allgemein verständliche Angabe der Aufgaben und Ziele des automatisierten Verfahrens)
Verfahrensdokumentation
(ausführliche Beschreibung des automatisierten Verfahrens)
Dienstanweisung zur Regelung der Verfahrensabläufe und der Verantwortungsbereiche bei allen beteiligten Stellen
Bei Stichprobenprüfung (Nr. 6.2.5)
Ausführliche Begründung, warum Stichprobenprüfung anstelle des Vier-Augen-Prinzips durchgeführt wird
Risikoanalyse
Konzept zur Gewährleistung der Kassensicherheit
Protokoll über die im Rahmen eines Testlaufs erfolgte Festlegung der Prüfquote
Mitteilung über die Aufnahme des Wirkbetriebs (Anlage 1)
Erklärung über die Einhaltung der Mindestanforderungen, bezogen auf die jeweils gültige Programmversion (Anlage 2)
Bescheinigung über die Urkundeneignung von Laserdruckern




Schlussbestimmungen

Die geänderten Bestimmungen treten zum 4. Mai 2009 in Kraft.


Bewirtschaftende Dienststelle


Datum





Straße/Postfach Name






Postleitzahl/Ort Telefonnummer


Adresse der bewirtschaftenden Dienststelle


Bearbeiter/in




E-Mail - Adresse der Dienststelle


Geschäftszeichen





Bundeskasse1







nachrichtlich:





Bundesministerium2




Anlagen (nichtamtliches Verzeichnis)

Anlage 1: Muster der Mitteilung über den beabsichtigten Einsatz von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes Mus-ter der Mitteilung über die Aufnahme des Wirkbetriebs von automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes

Anlage 2: Muster der Erklärung über die Einhaltung der Mindestanforderungen für den Einsatz von automatisierten Verfahren

Anlage 3: Zeichentabelle

Anlage 4: Übersicht der obersten Bundesbehörden

Anlage 5: Rundschreiben des BMF vom 23.03.2009

Anlage 6: Synopse der redaktionellen Änderung