Logo jurisLogo Bundesregierung

BMF-IIE4-20250625-SF-A001.htm

Zum Hauptdokument : Verwaltungsvorschrift für Zahlungen, Buchführung und Rechnungslegung (§§ 70 bis 71 sowie 75 bis 80 BHO) – VV-ZBR BHO –



Anlage zur Nr. 6.1 VV-ZBR BHO
(Anlage 1 zur VV-ZBR BHO)
Grundsätze ordnungsgemäßer Buchführung beim Einsatz von IT-Verfahren nach Nr. 6 VV-ZBR BHO (GoBIT)

– Stand 6/2025 –



1
Anwendungsbereich


1.1
Haushaltsverfahren des Bundes (HaVdB)
Die Haushaltsmittel des Bundes sind in den vom Bundesministerium der Finanzen zugelassenen HaVdB zu bewirtschaften. Die Bewirtschaftung von Haushaltsmitteln umfasst alle Maßnahmen zur Mittelverteilung und Mittelverwendung sowie die Veranlassung der erforderlichen Buchungen. Maßnahmen der Mittelverwendung sind insbesondere die Festlegung von Haushaltsmitteln und die Leistung oder Annahme von Zahlungen.


1.2
IT-Verfahren der bewirtschaftenden Stellen im Haushalts-, Kassen- und Rechnungswesen des Bundes


1.2.1
Bewirtschaftende Stellen können für die Aufgaben gemäß Nr. 6.1.1 VV-ZBR BHO eigene IT-Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes einsetzen. IT-Verfahren in diesem Sinne sind IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR BHO, die Daten an die HaVdB per Schnittstelle übermitteln (einreichende IT-Verfahren) und IT-Verfahren gemäß Nr. 6.1.1 VV-ZBR BHO, die Daten an ein einreichendes IT-Verfahren oder ein anderes vorgelagertes IT-Verfahren per Schnittstelle übermitteln (vorgelagerte IT-Verfahren). Die Daten können per elektronischer Schnittstelle übermittelt oder durch Personen erfasst werden.


1.2.2
Die bewirtschaftenden Stellen sind verpflichtet, die Anordnungen für die Buchungen und Zahlungen vollständig und unverzüglich an die HaVdB zu übermitteln.


2
Verantwortlichkeit der obersten Bundesbehörden


2.1
Zuständigkeiten der obersten Bundesbehörde
Für die Einhaltung der nachfolgenden Bestimmungen für den Einsatz eines IT-Verfahrens gemäß Nr. 1 ist die oberste Bundesbehörde verantwortlich, deren Einzelplan oder Teile davon mit dem IT-Verfahren bewirtschaftet werden oder der ein Teil des Einzelplans 60 zur Bewirtschaftung gemäß Nr. 3.1 VV § 9 BHO übertragen wurde.


2.2
Delegation von Bewirtschaftung
Die Bewirtschaftung von Bundesmitteln kann teilweise oder vollständig auf Stellen außerhalb der Bundesverwaltung delegiert werden, sofern die Verantwortung für die Durchführung des Fachgesetzes, einschließlich des eingesetzten IT-Verfahrens, in der obersten Bundesbehörde verbleibt. Die Verantwortung beinhaltet die Gewährleistung der Ordnungsmäßigkeit des eingesetzten IT-Verfahrens einschließlich der Unterlagen gemäß den nachfolgenden Anforderungen. Falls Landes- oder Kommunaldienststellen für die Bewirtschaftung von Haushaltsmitteln des Bundes zuständig sind, ist das zuständige Landesministerium im Rahmen seiner Fachaufsicht zu beteiligen.


3
Anforderungen an die Datenübermittlung


3.1
Allgemeine Bestimmungen


3.1.1
Die vollständige und unveränderte Übernahme von elektronischen Daten und Dokumenten ist durch automatisierte Kontrollen zu überprüfen und sicherzustellen. Die Prüfung ist zu dokumentieren.


3.1.2
Elektronische Daten und Dokumente sind in einem IT-Verfahren unverändert in elektronischer Form weiterzuverarbeiten.


3.2
Datenübermittlung per elektronischer Schnittstelle


3.2.1
Bei der Übermittlung von Zahlungs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle in ein oder aus einem IT-Verfahren im Haushalts-, Kassen- und Rechnungswesen des Bundes zu den HaVdB muss gewährleistet sein, dass die Daten vollständig und unverändert übertragen werden, dazu gehört auch die eindeutige Identifizierung der verantwortlichen Personen für die Übermittlung. Das Ergebnis darf durch eine Wiederholung der Übermittlung derselben Daten nicht verändert werden.


3.2.2
Elektronische Daten und Dokumente sind an die HaVdB nur über die vom Bundesministerium der Finanzen zugelassenen Schnittstellen zu übermitteln. Die IT-technische Ordnungsmäßigkeit der sendenden Stelle und der Daten sind durch die empfangende Stelle zu prüfen.


3.2.3
Bei der Übermittlung von Daten an die HaVdB aus einem einreichenden IT-Verfahren gemäß Nr. 1.2 sind insbesondere folgende Punkte zu beachten:


3.2.3.1
Vor dem erstmaligen Einsatz eines IT-Verfahrens sind die Buchungs- bzw. Anordnungsdaten von der bewirtschaftenden Stelle an die zuständige Kasse des Bundes zu übermitteln und dort auf ordnungsgemäße Verarbeitung der eingesetzten Schnittstelle und Verarbeitungsfähigkeit zu den HaVdB prüfen zu lassen. Dies ist bei technischen und/oder organisatorischen Änderungen eines bereits eingesetzten IT-Verfahrens, die Auswirkungen auf die Buchungs- bzw. Anordnungsdaten haben, zu wiederholen.


3.2.3.2
Die zuständige Kasse bescheinigt der bewirtschaftenden Stelle die erfolgreiche Prüfung.


3.2.4
Bei der Übermittlung von Zahlungs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle aus einem vorgelagerten IT-Verfahren in ein einreichendes IT-Verfahren, muss gewährleistet sein, dass die Daten vollständig und unverändert übertragen werden. Dies gilt auch für die Übermittlung von Zahlungs-, Buchungs- und Anordnungsdaten über eine elektronische Schnittstelle von vorgelagerten IT-Verfahren in andere vorgelagerte IT-Verfahren. Liegt für vorgelagerte Verfahren keine gültige Einwilligung gemäß Nr. 6.4 VV-ZBR BHO vor, sind die übernommenen zahlungsrelevanten Daten wie ungeprüfte Daten zu behandeln.


3.2.5
Daten aus IT-Verfahren einer juristischen Person, die nicht der Nr. 6.1.1 VV-ZBR BHO unterliegen, dürfen nur dann von der bewirtschaftenden Stelle unverändert weiterverarbeitet werden, wenn die bewirtschaftende Stelle die Richtigkeit der Daten nicht prüfen kann und von der ordnungsgemäßen Geschäftsführung der juristischen Person ausgegangen werden kann. Die bewirtschaftende Stelle hat die ordnungsgemäße Geschäftsführung der juristischen Person zu bewerten.


3.2.6
Es ist sicherzustellen, dass alle Zahlungs-, Buchungs- und Anordnungsdaten, die abschließend geprüft oder angeordnet wurden, im weiteren Verlauf der Datenverarbeitung nicht mehr geändert werden können.


3.2.7
Die zur Sicherung ordnungsgemäßer Datenübermittlung erforderlichen Maßnahmen sind in der Dienstanweisung gemäß Nr. 6.2.1 VV-ZBR BHO festzulegen.


3.3
Elektronische Erfassung von Unterlagen in Papierform


3.3.1
Scannen gemäß TR-03138 „Ersetzendes Scannen (RESISCAN)“ des Bundesamts für Sicherheit in der Informationstechnik
Werden Unterlagen in Papierform elektronisch durch ersetzendes Scannen erfasst, sind die Empfehlungen der TR-03138 umzusetzen.


3.3.2
Andere Erfassung von Unterlagen
Bei Unterlagen in Papierform, die nicht gemäß Nr. 3.3.1 erfasst wurden, ist zu prüfen, ob die geänderte Form ein vollständiges Abbild der ursprünglichen Form ist. Die Prüfung ist systemseitig zu dokumentieren. Änderungen an dem geprüften elektronischen Dokument sind nicht zulässig. Der Zusammenhang der einzelnen Unterlagen muss gewahrt bleiben.
In der Dienstanweisung gemäß Nr. 6.2.1 VV-ZBR BHO ist festzulegen


3.3.2.1
die für die elektronische Erfassung zuständige Organisationseinheit,


3.3.2.2
zu welchem Zeitpunkt erfasst wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung),


3.3.2.3
welches Schriftgut erfasst wird,


3.3.2.4
inwieweit die bildliche und inhaltliche Übereinstimmung des Abbilds mit dem Original ggf. stichprobenhaft (durch zweite Person) zu prüfen ist,


3.3.2.5
wer nach dem Berechtigungskonzept erfassen darf,


3.3.2.6
wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit erfolgt,


3.3.2.7
wie die Beseitigung von Fehlern und deren Dokumentation zu erfolgen hat und


3.3.2.8
wie lange die Unterlagen in Papierform nach der elektronischen Erfassung aufzubewahren sind.


3.3.2.9
Die Unterlagen in Papierform sind dem weiteren Bearbeitungsvorgang zu entziehen. Falls ausnahmsweise aus rechtlichen und/oder organisatorischen Gründen nach der elektronischen Erfassung eine weitere Vorgangsbearbeitung der Unterlagen in Papierform erfolgt, müssen nach Abschluss der Bearbeitung die bearbeiteten Unterlagen in Papierform erneut erfasst und jeweils ein Bezug zum ersten erfassten Objekt hergestellt werden (gemeinsamer Index).


3.3.3
Ein Abbild der Unterlage in Papierform in schwarz-weiß ist in der Regel ausreichend. Eine vollständige Farbwiedergabe ist nur erforderlich, wenn der Farbe eine Beweisfunktion zukommt.


4
Anforderungen an elektronische Anordnung und Stichprobenkontrolle


4.1
Elektronische Anordnungen


4.1.1
Die elektronische Anordnung umfasst zunächst die Prüfung auf Ordnungsmäßigkeit durch die dazu berechtigten Personen gemäß Nr. 1.2 VV-ZBR BHO.


4.1.2
Im nächsten Schritt ist durch andere Personen als in Nr. 4.1.1 zu prüfen, ob die elektronische Anordnung keine offensichtlichen Fehler enthält. Soweit die Berechtigungen nicht systemseitig abgebildet sind, ist zusätzlich festzustellen, ob die Prüfung auf Ordnungsmäßigkeit von den dazu berechtigten Personen festgestellt wurde.


4.1.3
Die Prüfung der Ordnungsmäßigkeit durch berechtigte Personen gemäß Nr. 4.1.1 kann in den Fällen, in denen eine regelbasierte Entscheidungsunterstützung möglich ist und ein rechtlich gebundener Anspruch (keine Einräumung von Ermessen) auf Zahlung besteht, durch vollautomatisierte Prozesse ersetzt werden.


4.1.4
Eine Änderung der Daten muss nach der Prüfung gemäß Nr. 4.1.2 bzw. Nr. 4.1.3 ausgeschlossen sein. Sollte eine Änderung der Daten nach der Prüfung erfolgen, ist eine erneute vollständige Prüfung gemäß Nr. 4.1.1 und Nr. 4.1.2 bzw. Nr. 4.1.3 durchzuführen.


4.2
Stichprobenkontrolle


4.2.1
Voraussetzungen


4.2.1.1
Falls im Rahmen der Risikoanalyse nur geringe Risiken für die Kassensicherheit festgestellt werden, kann auf die vollständige Prüfung gemäß Nr. 4.1.2 verzichtet und ein Stichprobenkontrollverfahren eingesetzt werden. Ein Stichprobenkontrollverfahren ist ausgeschlossen bei:
a) Erfassung und Änderung von zentralen zahlungsrelevanten Daten und
b) Geschäftsfällen, die zu Zahlungen auf unbestimmte Zeit führen.


4.2.1.2
Insbesondere für Geschäftsfälle mit wiederkehrenden Zahlungen, Einmalzahlungen, unbefristeten Niederschlagungen und dem Erlass von Forderungen muss die einsetzende Stelle in der Risikoanalyse den jeweils festgelegten Höchstbetrag hinsichtlich möglicher Risiken bewerten und festlegen, ab welcher Betragshöhe das Stichprobenverfahren nicht mehr angewendet werden soll.


4.2.2
Durchführung der Stichprobenkontrolle
Das Stichprobenkontrollverfahren ist in der Dienstanweisung gemäß Nr. 6.2.1 VV-ZBR BHO für die prüfenden Anwenderinnen und Anwender nachvollziehbar und verbindlich zu regeln, insbesondere sind die einzelnen Verantwortlichkeiten eindeutig abzugrenzen. Gegenüber den übrigen Anwenderinnen und Anwendern ist Stillschweigen über die quantitative und qualitative Zusammensetzung der Stichprobe zu wahren. Folgendes muss bei der Durchführung des Stichprobenkontrollverfahrens beachtet werden:


4.2.2.1
Die Übertragbarkeit der Stichprobenergebnisse auf eine Grundgesamtheit muss durch mathematische Gesetzmäßigkeiten gewährleistet sein, so dass aus der Stichprobe Informationen gewonnen werden können, die für die jeweilige Grundgesamtheit repräsentativ sind (mathematisch-statistisches Stichprobenkontrollverfahren).


4.2.2.2
Bei der Ermittlung des Stichprobenumfangs sind die Risiken der einzelnen Grundgesamtheiten zu berücksichtigen.


4.2.2.3
Die Auswahl der Stichprobe muss dem Zufallsprinzip folgen.


4.2.2.4
Es ist durch systemtechnische Vorkehrungen zu gewährleisten, dass alle Geschäftsfälle erst nach Prüfung und Bewertung der Stichprobe weiterverarbeitet werden.


4.2.2.5
Die Parameter zur Berechnung der Stichprobe, die Auswirkungen auf die quantitative und qualitative Zusammensetzung der Stichprobe haben, müssen im IT-Verfahren frei einstellbar sein.


4.2.2.6
Alle Geschäftsfälle müssen hinsichtlich ihrer Zuordnung zu einer Grundgesamtheit und ihrer weiteren Bearbeitung auswertbar sein.


4.2.2.7
Die Stichprobenfälle sind durch das IT-Verfahren auswertbar zu markieren; festgestellte Fehler sind auswertbar innerhalb des IT-Verfahrens zu dokumentieren.


4.2.3
Stichprobenprüfung


4.2.3.1
Für die Prüfung der in die Stichprobe gelangten Geschäftsfälle gelten die Vorschriften, die für alle Geschäftsfälle außerhalb eines Stichprobenkontrollverfahrens gelten.


4.2.3.2
Werden bei der Stichprobenprüfung Fehler festgestellt, sind diese an die zuständige Stelle zurückzuweisen und unverzüglich berichtigen zu lassen. Die beanstandeten Fälle sind nach der Berichtigung erneut zu prüfen. Die nicht geprüften Geschäftsfälle dürfen erst dann freigegeben werden, wenn die zur Fehlerkorrektur getroffenen Maßnahmen die Überzeugung rechtfertigen, dass Fehler in den verbleibenden Datensätzen nur geringe Risiken für die Kassensicherheit enthalten. Die zur Fehlerkorrektur getroffenen Maßnahmen sind zu dokumentieren.


5
Anforderungen an die IT-Sicherheit


5.1
Anforderungen an die für die Entwicklung zuständige Stelle
Die für die Entwicklung zuständige Stelle hat sicherzustellen, dass


5.1.1
die Empfehlungen des IT-Grundschutzes des Bundesamtes für Sicherheit in der Informationstechnik (BSI) umgesetzt werden. Es dürfen u. a. nur dokumentierte, hinreichend getestete und freigegebene IT-Verfahren eingesetzt werden.
Von der für die Entwicklung zuständigen Stelle ist formlos gegenüber der einsetzenden Stelle zu bestätigen, dass ein anwendungsspezifisches Sicherheitskonzept gemäß IT-Grundschutz einschließlich ergänzender Bestimmungen des BSI in aktueller Form vorliegt. Weitergehende Regelungen zur IT-Sicherheit bleiben unberührt.


5.1.2
nur im Voraus festgelegte Personen (autorisierte Personen) und festgelegte IT-Verfahren auf Daten zugreifen und die für das IT-Verfahren definierten Rechte wahrnehmen dürfen. Diese Rechte umfassen insbesondere das Lesen, Erfassen, Ändern und Löschen von Daten oder die Administration eines IT-Verfahrens. Dadurch sollen ausschließlich die im Ordnungsmäßigkeitskonzept gemäß Nr. 6.2.4 VV-ZBR BHO genehmigten Rollen und Rechte im IT-Verfahren abgebildet werden.


5.1.3
die in das IT-Verfahren eingestellten Daten eines Geschäftsfalles eindeutig einer autorisierten Person bzw. einem IT-Verfahren zuzuordnen sind.


5.1.4
das IT-Verfahren die gewollten Rechtsfolgen bindend herbeiführt.


5.1.5
kritische Rollen bzw. Rollenkombinationen grundsätzlich vermieden werden. Falls dies nicht möglich ist, sind sie im Rahmen der Risikoanalyse gemäß Nr. 6.2.3 VV-ZBR BHO besonders zu bewerten.


5.2
Anforderungen an die einsetzenden Stellen
Die einsetzenden Stellen müssen das anwendungsspezifisches Sicherheitskonzept vor Ort umsetzen.


6
Anforderungen an die Risikoanalyse


6.1
Risikoidentifikation


6.1.1
Es ist für alle Prozessschritte (Erfassung durch eine Person, teil- und vollautomatisiert) bei der Anwendung des IT-Verfahrens und bei der Berechtigungsverwaltung jeweils darzulegen, welche Risiken für die Kassensicherheit und die Zuverlässigkeit, Vollständigkeit und Revisionsfähigkeit bestehen. Art, Ursprung und Folgen des jeweiligen Risikos sind so zu beschreiben, dass dies von sachkundigen Dritten nachvollzogen werden kann. Abweichungen von Regelungen der BHO und den zugehörigen Verwaltungsvorschriften sind nur in den Fällen zulässig, für die das Bundesministerium der Finanzen Ausnahmen genehmigen darf und nur falls die Einhaltung der Kassensicherheit einen unvertretbaren Aufwand darstellt. Risiken im Hinblick auf die Rechtmäßigkeit des Verwaltungshandelns sind in die Gesamtbeurteilung mit einzubeziehen. Risiken, die zu mittelbaren Schäden führen können, insbesondere Personalkosten zur Beseitigung entstandener Fehler, sind ebenfalls zu berücksichtigen.


6.1.2
Dabei ist darzulegen, welche materiellen Schäden (insbesondere wirtschaftliche Schäden) und immateriellen Schäden (insbesondere Imageverlust oder Verletzung von Rechtsnormen) bei Eintritt des Risikofalles zu erwarten sind.


6.2
Risikobewertung


6.2.1
Jedes Risiko ist hinsichtlich seiner Eintrittshäufigkeit und des wahrscheinlichen Ausmaßes eines Schadens bei Risikoeintritt (Schadenshöhe) zu bewerten. Mögliche Risiken, denen durch bereits im IT-Verfahren angelegte Sicherheitsmaßnahmen entgegengewirkt wird, sind dabei außer Acht zu lassen.


6.2.2
Führen mehrere voneinander unabhängige Ereignisse gemeinsam zu einer erheblich größeren Gefährdung der Kassensicherheit oder der Zuverlässigkeit, Vollständigkeit oder Revisionsfähigkeit als bei einem isolierten Eintritt des jeweiligen Risikos, sind diese Ereignisse gemeinsam zu bewerten.


6.2.3
Die Eintrittshäufigkeit ist mit Hilfe von Statistiken sowie eigenen Erfahrungen zu schätzen.
Eintrittshäufigkeit
selten – Ereignis könnte nach heutigem Kenntnisstand höchstens alle zehn Jahre eintreten.
mittel – Ereignis tritt einmal alle fünf Jahre bis einmal im Jahr ein.
häufig – Ereignis tritt einmal im Jahr bis einmal pro Monat ein.
sehr häufig – Ereignis tritt mehrmals im Monat ein.


6.2.4
Die Schadensauswirkungen müssen ebenfalls für den konkreten Anwendungsfall eingeschätzt werden. Hierbei geht es darum, wie sich der Eintritt einer Gefährdung auswirken kann, d. h. welche Schäden finanzieller und anderer Art, welche direkten Schäden und welche Folgeschäden entstehen können. Die Schadensauswirkungen sind bei einem materiellen Schaden durch Intervalle in Euro-Beträgen und bei einem immateriellen Schaden durch Vorgaben für nicht in Geldbeträgen messbare Risiken festzulegen.


Schadenshöhe/Schadensauswirkungen
vernachlässigbar – Die Schadensauswirkungen sind gering und können vernachlässigt werden.
Von 0,00 bis X,00 Euro.
begrenzt – Die Schadensauswirkungen sind begrenzt und überschaubar.
Von X,01 bis Y,00 Euro.
beträchtlich – Die Schadensauswirkungen können beträchtlich sein.
Von Y,01 bis Z,00 Euro.
existenz-bedrohend – Die Schadensauswirkungen können ein existentiell bedrohliches, katastrophales Ausmaß erreichen.
Größer als Z,01 Euro.


6.2.5
Risikomatrix und Risikokategorien
Anhand der zuvor definierten Kategorien für die potenzielle Schadenshöhe sowie der Klassifikation für Eintrittshäufigkeiten von Gefährdungen wird folgende Risikomatrix festgelegt. Sie dient lediglich zur Veranschaulichung und ist auf die eigenen Sachverhalte anzupassen.


6.2.5.1
Risikomatrix

Auswirkungen/

Schadenshöhe





existenzbedrohend

mittel  

hoch 

sehr hoch 

sehr hoch 

beträchtlich

mittel 

mittel 

hoch 

sehr hoch 

begrenzt

gering

gering  

mittel 

hoch 

vernachlässigbar 

gering  

gering 

gering  

gering 

Eintrittshäufigkeit  

selten 

mittel 

häufig 

sehr häufig 



6.2.5.2
Risikokategorien

gering

Fehler sind möglich. Geringe Risiken sind in der Praxis zu akzeptieren und die Gefährdungen dennoch zu beobachten.

mittel

Die bereits umgesetzten Maßnahmen zur Kassensicherheit reichen möglicherweise nicht aus. Zusätzliche Maßnahmen zur Risikominimierung sind laufend zu prüfen und die Gefährdungen sind verstärkt zu beobachten.

hoch

Die bereits umgesetzten Maßnahmen zur Kassensicherheit bieten keinen ausreichenden Schutz vor der jeweiligen Gefährdung. Ein hohes Risiko kann nur dann akzeptiert werden, wenn die Maßnahmen zur Risikominimierung zu einem nicht vertretbaren Aufwand führen.

sehr hoch  

In der Praxis werden sehr hohe Risiken nicht akzeptiert.



6.2.6
Die Bedingungen für den Eintritt einer Risikokategorie und die Schadenshöhen sind durch die für die Entwicklung zuständigen Stelle festzulegen und in der Risikoanalyse zu dokumentieren. Diese Schätzungen sind zu begründen.


6.2.7
Risikosteuerung und -kontrolle


6.2.7.1
Für jedes Risiko ist in einem weiteren Schritt darzulegen, welche Sicherheitsmaßnahmen zur Risikoverringerung vorgesehen sind und wie sich diese Maßnahmen auf Eintrittshäufigkeit und Schadensausmaß auswirken.


6.2.7.2
Bei der Bewertung der Risikokategorie ist darzulegen, aus welchen Gründen ggf. auf weitergehende Sicherheitsmaßnahmen verzichtet wird. Dabei sind die durch das verbleibende Risiko bedingten möglichen Schäden gegen den Aufwand zur Erhöhung der Kassensicherheit sowie des Schutzes der Zuverlässigkeit, Vollständigkeit und Revisionsfähigkeit im Rahmen des IT-Verfahrens abzuwägen.


6.3
Überprüfung der Risikoanalyse


6.3.1
Die Risikoanalyse ist regelmäßig in einem Zeitraum von höchstens 24 Monaten und bei Änderungen von der jeweils zuständigen Behörde gemäß Nr. 6.1.3 VV-ZBR BHO daraufhin zu überprüfen, ob die Identifikation und Bewertung der Risiken sowie die zur Risikominderung getroffenen Maßnahmen im Hinblick auf die mit der Anwendung des IT-Verfahrens gewonnenen Erkenntnisse weiterhin zutreffend sind. Es ist jeweils eine Stelle in der Behörde zu benennen, die für die Durchführung der Überprüfung der Risikoanalyse verantwortlich ist.


6.3.2
Sofern das Risiko gegenüber der vorherigen Risikoanalyse höher bewertet wird, ist die Risikoanalyse anzupassen. Ggf. sind Maßnahmen zur Verringerung des Risikos zu ergreifen.


6.3.3
Andere Behörden, die das IT-Verfahren ebenfalls einsetzen, sind über das Ergebnis der Prüfung zu informieren.


7
Internes Kontrollsystem (IKS)


7.1
Allgemeine Bestimmungen
Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet, die die Einhaltung der ordnungsgemäßen Verarbeitung eines IT-Verfahrens im Einsatz sicherstellt. Die konkreten Zuständigkeiten im IKS für die IT-Verfahren sind in einer von der obersten Bundesbehörde zu bestimmenden Stelle oder der einsetzenden Stelle festzulegen.


7.2
Prüfungen


7.2.1
Im Rahmen eines IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte IT-Verfahren dem dokumentierten Verfahren entspricht. Die durchgeführten Prüfungen sowie ggf. festgestellte Fehler und die Maßnahmen zur Fehlerbehebung sind zu dokumentieren. Fehler sind unverzüglich zu beseitigen.
Eine anlassbezogene Prüfung des IT-Verfahrens ist systemseitig durchzuführen. Zusätzlich kann die anlassbezogene Prüfung durch eine verantwortliche Person durchgeführt werden, die nicht an der Systemprogrammierung, Verfahrensentwicklung und -pflege sowie der Verarbeitung beteiligt sein darf. Die Rechte der oder des BfdH gemäß VV Nr. 3.3 zu § 9 BHO bleiben unberührt.


7.2.2
Das IT-Verfahren ist regelmäßig und anlassbezogen auf die ausreichende Prävention vor schadhaften Handlungen externer und interner Personen zu prüfen.


8
Aufbewahrung von elektronischen Unterlagen


8.1
Allgemeine Bestimmungen
Für die Aufbewahrung von elektronischen Unterlagen gelten die Regelungen der Nr. 5 VV-ZBR BHO. Die in Nr. 5.2 VV-ZBR BHO genannte Stelle hat die Verfahrensabläufe für die Aufbewahrung von elektronischen Unterlagen festzulegen. Dabei sind festzulegen:


8.1.1
die Abgrenzung der Aufgaben- und Verantwortungsbereiche der an dem Verfahren beteiligten Personen und


8.1.2
die Zugangs-, Zugriffs- und Rücklaufkontrollen.


8.2
Anforderung an die Aufbewahrung elektronischer Unterlagen


8.2.1
Bei elektronischen Unterlagen sind ihr Eingang, ihre Aufbewahrung und ggf. Konvertierung sowie die weitere Verarbeitung zu protokollieren. Dabei muss sichergestellt sein, dass die beteiligten und verantwortlichen Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und der Uhrzeit systemseitig revisionssicher dokumentiert werden und der Zusammenhang der einzelnen Unterlagen zu einem Geschäftsvorfall gewahrt bleibt.


8.2.2
Die Unterlagen sind so aufzubewahren, dass innerhalb einer angemessenen Frist einzelne Unterlagen zur Verfügung stehen.


8.2.3
Sind aufbewahrungspflichtige elektronische Unterlagen in einem automatisierten Verfahren entstanden oder eingegangen, so sind diese Daten in der Form der Erstellung oder der Übernahme unveränderbar aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein Archivsystem erfolgt. Es ist sicherzustellen, dass die elektronischen Unterlagen innerhalb der Aufbewahrungszeit auch nach einem Wechsel der zum Zeitpunkt der Speicherung eingesetzten automatisierten Verfahren lesbar gemacht und ausgewertet werden können.


8.2.4
Eingehende elektronische Unterlagen sind auf Integrität und Authentizität zu prüfen. Sie sind nur dann aufzubewahren, wenn sie sich als begründende Unterlagen darstellen.


8.2.5
Eine elektronische Unterlage ist so zu kennzeichnen, dass sie jederzeit innerhalb einer angemessenen Frist lesbar gemacht werden kann. Es ist sicherzustellen, dass die elektronische Unterlage unter dem Kennzeichen verwaltet und mit weiteren dazugehörigen Unterlagen zusammengeführt werden kann. Dies gilt für die gesamte Aufbewahrungsfrist.


8.2.6
Die elektronischen Bearbeitungsvorgänge sind zu protokollieren und mit der elektronischen Unterlage zu speichern, damit die Nachvollziehbarkeit und Prüfbarkeit des Originalzustands und seiner Ergänzungen gewährleistet ist.


8.3
Prüfbarkeit der aufbewahrungspflichtigen elektronischen Unterlagen
Die elektronischen Unterlagen müssen für die Rechnungsprüfung für die Aufgaben gemäß § 9 BHO sowie die jeweilige Fachaufsicht auch elektronisch auswertbar sein. Im Übrigen gilt auch Nr. 6.2.4.2.4 VV-ZBR BHO.


8.4
Löschung von elektronischen Daten
Nach Ablauf der Aufbewahrungsfrist gemäß Nr. 5 VV-ZBR BHO sind die elektronischen Daten technisch sicher und unwiderruflich gemäß dem IT-Grundschutz des BSI zu löschen.