Versionsverlauf

Pflichtfeld

  • ab 01.02.2021 (aktuelle Fassung)

Abschnitt 17.9 VV-LHO - Grundsätze für den Einsatz von DV-Systemen und IT-Verfahren für das Haushalts-, Kassen- und Rechnungswesen in Landesbetrieben

Bibliographie

Titel
Verwaltungsvorschriften zur Landeshaushaltsordnung (VV-LHO)
Amtliche Abkürzung
VV-LHO
Normtyp
Verwaltungsvorschrift
Normgeber
Niedersachsen
Gliederungs-Nr.
64100

Anlage 9
(zu VV Nr. 1.7.3 zu § 26 LHO)

1.
Allgemeines

Die Abläufe im Haushalts-, Kassen- und Rechnungswesen werden zunehmend ganz oder teilweise unter Einsatz von DV-Systemen oder automatisierten, integrierten IT-gestützten Buchführungs- und Rechnungslegungssystemen abgebildet. Hierunter sind solche Verfahren zu verstehen, bei denen Arbeitsschritte ganz oder teilweise ohne Unterbrechung auf elektronischem Wege ablaufen (im Folgenden: HKR-IT-Verfahren). Darüber hinaus werden im Haushalts-, Kassen- und Rechnungswesen zunehmend die aufbewahrungspflichtigen Unterlagen in elektronischer Form aufbewahrt. Diese gelten als Unterlagen gemäß VV Nr. 1.6.

2.
Geltungsbereich

Die folgenden Regelungen finden Anwendung auf automatisierte Verfahren für das Haushalts-, Kassen- und Rechnungswesen in Landesbetrieben. Dies sind Verfahren für

  1. 2.1

    Anordnungen,

  2. 2.2

    Zahlungen,

  3. 2.3

    Geldverwaltung und Abrechnung,

  4. 2.4

    Buchführung, Belegung der Buchungen, Abschlüsse und Rechnungslegung,

  5. 2.5

    Kartenzahlverfahren,

  6. 2.6

    elektronische Zahlungsverkehrssysteme, soweit diese nicht den "Besonderen Bedingungen der Deutschen Bundesbank für die Datenfernübertragung via EBICS für sonstige Kontoinhaber ohne Bankleitzahl (EBICS-Bedingungen)" entsprechen oder mit diesen konformgehen.

3.
Verantwortlichkeit

  1. 3.1

    Die oder der Beauftragte für den Haushalt (BfdH) ist verantwortlich für die Ordnungsmäßigkeit der Buchführung in dem Landesbetrieb. Dies gilt insbesondere für die Soll- und Ist-Buchführung aufgrund elektronischer Kassenanordnungen.

  2. 3.2

    Für die Einhaltung der folgenden Bestimmungen für den Einsatz eines Verfahrens nach Nummer 1 ist die oberste Landesbehörde verantwortlich, die für den Einsatz des Verfahrens zuständig ist oder für deren Geschäftsbereich das Verfahren genutzt werden soll. Dies beinhaltet die Gewährleistung der Ordnungsmäßigkeit - insbesondere für die Richtigkeit der Programme -, der Sicherheit und der Wirtschaftlichkeit der Verfahren und des Schutzes der damit gespeicherten Daten sowie für die Unterlagen gemäß VV Nr. 1.6 einschließlich der eingesetzten Verfahren. Dies gilt auch bei einer teilweisen oder vollständigen organisatorischen und technischen Auslagerung der Buchführung und Rechnungslegung auf Dritte.

    Die für den Landesbetrieb zuständige oberste Landesbehörde hat beim erstmaligen Einsatz oder bei Erweiterungen und Anpassungen eines HKR-IT-Verfahrens, die zu einem erhöhten Risiko führen, im jeweiligen Landesbetrieb ein aktuelles Sicherheitskonzept vorzuhalten, das sich an der Leitlinie zur Gewährleistung der Informationssicherheit (ISLL) mit ihren Informationssicherheitsrichtlinen (ISRL) orientiert. Alternativ kann eine schriftliche Dokumentation der technisch organisatorischen Maßnahmen nach der DSGVO eingesetzt werden.

    Die Dokumentation von derartigen Verfahren ist gegen Verlust, Beschädigung und den Zugriff Unbefugter gesichert aufzubewahren.

4.
Entwicklung und Betrieb eines HKR-IT-Verfahrens

  1. 4.1

    Anforderungen

    Automatisierte Verfahren gemäß Nummer 2 müssen mindesten folgende Kriterien erfüllen:

    1. 4.1.1

      das Vorliegen eines Berechtigungskonzepts,

    2. 4.1.2

      das Vorliegen eines definierten Verfahrens zur Vergabe von Berechtigungen,

    3. 4.1.3

      Einhaltung von aktuellen, definierten und dokumentierten Passwortkonventionen (wie z. B. die Passwortkonventionen für den Niedersachsenclient NiC),

    4. 4.1.4

      vollständige und richtige Verarbeitung über mehrere Prozessschritte,

    5. 4.1.5

      Gewährleistung der Richtigkeit der Datenverarbeitung,

    6. 4.1.6

      Sicherstellung der Unveränderbarkeit der buchungs- und zahlungsrelevanten Daten,

    7. 4.1.7

      Bestätigung der sachlichen Richtigkeit durch die Erfasserin oder den Erfasser der Anordnung.

  2. 4.2

    Abgrenzung der Aufgaben- und Verantwortungsbereiche, Zugriffskontrollen

    1. 4.2.1

      Die Abgrenzung der Aufgaben- und Verantwortungsbereiche der an automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen Beteiligten ist verbindlich festzulegen und zu dokumentieren. Berechtigungen dürfen nur eingerichtet werden, soweit dies zur Aufgabenerfüllung zwingend erforderlich ist (Prinzip der minimalen Berechtigung). Es ist ein Verfahren für die Verwaltung der Berechtigungen (Einrichtung, Veränderung, Entzug) festzulegen. Das Verfahren muss sicherstellen, dass zu jedem Zeitpunkt festgestellt werden kann, welche Personen, einschließlich Administratorinnen oder Administratoren und anderen Systemverwalterinnen oder Systemverwaltern, zu welchem Zeitpunkt mit welchen Berechtigungen ausgestattet gewesen sind. Die Verwaltung von Berechtigungen, insbesondere die Identität der Personen, die die Berechtigungen zuweisen und denen die Berechtigungen zugewiesen werden, ist zu dokumentieren.

    2. 4.2.2

      Beim Einsatz automatisierter Verfahren ist sicherzustellen, dass eine Zugriffskontrolle gewährleistet ist und in den Arbeitsablauf nicht unbefugt eingegriffen werden kann. Der Zugriff ist zu schützen (Benutzerkennung, Passwort, Abstufung der Zugriffsberechtigung).

  3. 4.3

    Datenerfassung und Datenverarbeitung

    1. 4.3.1

      Grundsätzlich sind mindestens die Bereiche Datenerfassung und Datenverarbeitung gegeneinander abzugrenzen.

    2. 4.3.2

      Die Datenerfassung ist die verarbeitungsgerechte Übernahme von ermittelten Daten in ein automatisiertes Verfahren, um diese Daten weiter zu bearbeiten. Sie kann erfolgen durch manuelle oder andere Eingabe von Daten schriftlicher Unterlagen oder Übernahme elektronischer Daten in das Verfahren. Die richtige und vollständige Erfassung und Freigabe der Daten ist nach Maßgabe der VV Nr. 1.7.5 sachlich und rechnerisch zu bescheinigen und zu prüfen/freizugeben (Vier-Augen-Prinzip). Soweit erforderlich, ist der Transport von maschinell lesbaren Datenträgern durch Begleitbelege zu sichern.

    3. 4.3.3

      Die Datenverarbeitung ist die ordnungsgemäße Verarbeitung der Daten. Hierzu gehören insbesondere die richtige und vollständige Übernahme der Daten, die richtige und vollständige technische Durchführung der Verarbeitung, die Wiederholbarkeit der Verarbeitung im Fall nicht einwandfreier Arbeitsergebnisse, die vollständige Durchführung der ihr obliegenden organisatorischen und sonstigen Kontrollen, die Sicherung der Datenbestände und der Programme gegen Verlust, Unterbindung unzulässiger Weitergaben, Verhinderung unbeabsichtigter und unbefugter Veränderungen und die richtige und vollständige Weiterleitung der Arbeitsergebnisse.

    4. 4.3.4

      Bei Datenfernübertragung ist sicherzustellen, dass die Daten richtig und vollständig verschlüsselt gesendet und empfangen werden, die Übertragung der Daten wiederholt werden kann und die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.

    5. 4.3.5

      Es ist sicherzustellen, dass bereits verarbeitete Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen oder Mehrfachbuchungen kommt.

  4. 4.4

    Prüfung der Verfahrensabläufe

    Durch mindestens stichprobenweise Prüfung der Geschäftsleitung oder einer durch die Geschäftsleitung beauftragten Person ist sicherzustellen, dass die genehmigten Verfahrensabläufe und die getroffenen Regelungen eingehalten werden. Bei der Prüfung ist darauf zu achten, dass die erforderlichen Belege vorhanden sind und vorschriftsmäßig aufbewahrt werden. Die Prüfung ist zu bescheinigen.

  5. 4.5

    Belegfunktion

    1. 4.5.1

      Belegverarbeitung

      Aus den konzeptionellen Unterlagen des Verfahrens muss ersichtlich sein, wie die elektronischen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden (Nummern 6.1 und 6.2).

    2. 4.5.2

      Belegsicherung

      Die Belege sind unmittelbar nach Eingang oder Entstehung gegen Verlust zu sichern (Nummern 6.1 und 6.2). Zur Sicherung der Beweiskraft sind Belege und Buchungen so zu kennzeichnen, dass sie gegenseitig eindeutig zugeordnet werden können. Liegen den Buchungen automatisierte Berechnungsprozesse teilweise oder vollständig zugrunde, sind sie in der Verfahrensdokumentation nachzuweisen. Änderungen der automatisierten Berechnungsprozesse sind nur mittels eines autorisierten Änderungsverfahrens zulässig.

  6. 4.6

    Unterrichtung, Bestätigungsverfahren

    1. 4.6.1

      Das MF und der LRH sind über beabsichtigte Verfahren nach Nummer 1 so rechtzeitig zu informieren, dass sie ggf. die Gestaltung des Verfahrens beeinflussen können.

    2. 4.6.2

      Sollen Verfahren nach Nummer 1 eingeführt oder wesentlich geändert werden, ist durch die oberste Landesbehörde zu bestätigen, dass die Vorgaben dieser Vorschrift erfüllt sind (siehe Muster im Anhang). Die Bestätigung ist dem MF und dem LRH vorzulegen.

    3. 4.6.3

      Der Unterrichtung und Bestätigung bedarf es auch, wenn Verfahren oder Verfahrensteile anderer Betreiber übernommen oder wenn die Entwicklung oder die Anwendung von Verfahren oder Verfahrensteilen auf Stellen außerhalb der Landesverwaltung übertragen werden sollen.

5.
Internes Kontrollsystem (IKS)

Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet.

  1. 5.1

    Kontrollmaßnahmen

    Zur Einhaltung des IKS sind Kontrollen einzurichten, auszuüben und zu protokollieren. Hierzu gehören insbesondere

    • regelmäßige Überprüfung und Dokumentation der Zugangsberechtigungen der Personen (Nutzerinnen und Nutzer) zu einer IT-Anwendung (Benutzerkennungen) sowie der eingerichteten Zugriffsrechte entsprechend ihrer tatsächlichen Funktion (Überprüfung der Umsetzung des Rollen- und Rechtekonzepts),

    • Einhaltung der Funktionstrennungen,

    • Erfassungs- und Abstimmungskontrollen (z. B. Fehlerhinweise, Plausibilitätsprüfungen),

    • Verarbeitungskontrollen,

    • Einhaltung der Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen und elektronischen Unterlagen und

    • Sicherstellung von Änderungen von automatisierten Berechnungsprozessen nur mittels autorisierter Änderungsverfahren.

  2. 5.2

    Anlassbezogene Prüfungen

    Im Rahmen eines IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte HKR-IT-Verfahren dem dokumentierten Verfahren entspricht.

6.
Aufbewahrung von elektronischen Unterlagen

  1. 6.1

    Allgemeine Aufbewahrungsbestimmungen

    1. 6.1.1

      Unterlagen in elektronischer Form, die zum Verständnis der Buchführung und zur ordnungsmäßigen Rechnungslegung erforderlich sind, sind aufzubewahren.

    2. 6.1.2

      Die Aufbewahrungsfristen beginnen mit dem Ablauf des Haushaltsjahres, für das die Unterlagen bestimmt sind und in dem die Zahlung abgeschlossen ist.

    3. 6.1.3

      Rechnungsunterlagen sind zehn Jahre, Belege sechs Jahre und die übrigen Unterlagen ein Jahr aufzubewahren. Abweichende Aufbewahrungszeiten in Rechts- und Verwaltungsvorschriften bleiben unberührt.

    4. 6.1.4

      Die Unterlagen sind über die für sie geltenden Aufbewahrungszeiten hinaus mindestens bis zur Entlastung nach § 114 aufzubewahren.

    5. 6.1.5

      Der LRH kann in Einzelfällen verlangen, dass die Unterlagen über die für sie geltenden Aufbewahrungszeiten hinaus aufzubewahren sind.

    6. 6.1.6

      Elektronische Daten, deren Aufbewahrungszeiten abgelaufen sind, sind nach dem Abschluss eines Haushaltsjahres unwiderruflich zu löschen, wenn nicht andere Rechts- oder Verwaltungsvorschriften oder andere Gründe dem entgegenstehen. Dabei ist sicherzustellen, dass die in den Unterlagen enthaltenen Angaben nicht durch unbefugte Dritte zur Kenntnis genommen und nicht missbräuchlich verwendet werden können. Die zum Datenschutz getroffenen Regelungen sind zu beachten.

  2. 6.2

    Besondere Aufbewahrungspflichten

    1. 6.2.1

      Bei elektronischen Unterlagen sind ihr Eingang, ihre Aufbewahrung und ggf. Konvertierung sowie die weitere Verarbeitung zu protokollieren. Dabei muss sichergestellt sein, dass die beteiligten und verantwortlichen Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und (ggf.) der Uhrzeit systemseitig dokumentiert werden und der Zusammenhang der einzelnen Unterlagen zu einem Geschäftsvorfall gewahrt bleibt.

    2. 6.2.2

      Die Unterlagen sind so geordnet aufzubewahren, dass innerhalb einer angemessenen Frist einzelne Unterlagen zur Verfügung stehen.

    3. 6.2.3

      Sind aufbewahrungspflichtige elektronische Unterlagen in einem HKR-IT-Verfahren entstanden oder eingegangen, so sind diese Daten in der Form der Erstellung oder der Übernahme unveränderbar aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein Archivsystem erfolgt. Es ist sicherzustellen, dass die elektronischen Unterlagen innerhalb der Aufbewahrungszeit auch nach einem Wechsel der zum Zeitpunkt der Speicherung eingesetzten HKR-IT-Verfahren lesbar gemacht und ausgewertet werden können.

    4. 6.2.4

      Elektronische Unterlagen sind in einem sicheren Verfahren unveränderbar, gegen Verlust, Beschädigung und den Zugriff Unbefugter geschützt aufzubewahren. Es muss sichergestellt sein, dass die Haltbarkeit, die Lesbarkeit und die maschinelle Auswertbarkeit der Unterlagen während der Dauer der Aufbewahrung nicht beeinträchtigt werden.

    5. 6.2.5

      Eingehende elektronische Unterlagen sind im Rahmen der sachlichen Feststellung auf Integrität und Authentizität zu prüfen. Bei den elektronischen Unterlagen ist auf deren Inhalt abzustellen. So ist z. B. eine E-Mail in elektronischer Form aufbewahrungspflichtig, wenn sie sich als originäre begründende Unterlage darstellt. Dient eine E-Mail nur als "Transportmittel", z. B. für eine angehängte elektronische Rechnung, und enthält darüber hinaus keine weitergehenden aufbewahrungspflichtigen Informationen, so ist diese nicht aufbewahrungspflichtig.

    6. 6.2.6

      Elektronische Unterlagen sind jederzeit innerhalb einer angemessenen Frist lesbar zu machen. Es ist sicherzustellen, dass die elektronische Unterlage unter dem Kennzeichen verwaltet und mit weiteren dazugehörigen Unterlagen zusammengeführt werden kann. Dies gilt für die gesamte Aufbewahrungsfrist.

    7. 6.2.7

      Die elektronischen Bearbeitungsvorgänge sind zu protokollieren und mit der elektronischen Unterlage zu speichern, damit die Nachvollziehbarkeit und Prüfbarkeit des Originalzustandes und seiner Ergänzungen gewährleistet ist.

    8. 6.2.8

      Die Aufbewahrung elektronischer Unterlagen bei Bargeschäften kann das MF regeln.

  3. 6.3

    Prüfbarkeit der aufbewahrungspflichtigen elektronischen Unterlagen

    Die elektronischen Unterlagen müssen für die Rechnungsprüfung und für die Aufgaben nach § 9 BHO/LHO auch maschinell auswertbar sein.

  4. 6.4

    Elektronische Erfassung von Unterlagen in Papierform

    1. 6.4.1

      Unterlagen in Papierform werden durch den Scanvorgang in elektronische Unterlagen umgewandelt. Es muss dabei sichergestellt werden, dass das Original mit der gescannten Unterlage übereinstimmt und der Zusammenhang der einzelnen Unterlagen gewahrt bleibt.

    2. 6.4.2

      Die Unterlagen in Papierform dürfen nach dem fehlerfreien Scanvorgang vernichtet werden und die weitere Bearbeitung darf nur noch mit der elektronischen Unterlage erfolgen. Dies gilt nicht, wenn Rechtsvorschriften oder andere zwingende Gründe dem entgegenstehen.

    3. 6.4.3

      Das Verfahren muss dokumentiert werden. Die zuständige Stelle muss eine Dienstanweisung erstellen, die u. a. regelt, wer nach dem Berechtigungskonzept scannen darf, zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung), welche Unterlagen gescannt werden, welche Unterlagen in Papierform nach dem Scanvorgang nicht vernichtet werden dürfen, wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit erfolgt, wie die elektronische Unterlage einem Geschäftsvorfall zugeordnet wird und wie Fehler protokolliert werden.

  5. 6.5

    Ausnahmen

    Das MF kann im Einvernehmen mit dem LRH Ausnahmen zulassen.

Anhang
(zu Nummer 4.6.2 der Anlage 9 zu VV Nr. 1.7.3 zu § 26 LHO)

Muster: Bestätigung über die Mindestanforderungen für den Einsatz von HKR-IT-Verfahren in Landesbetrieben

Bezeichnung, Programmversion und Hersteller des Verfahrens:

Es wird bestätigt, dass

  1. 1.

    das o. g. Verfahren den Voraussetzungen der Anlage 9 zu VV Nr. 1.7.3 zu § 26 LHO entspricht und die erzeugten Daten unter Einhaltung der genannten Voraussetzungen ohne fachliche oder inhaltliche Mängel bereitgestellt werden;

  2. 2.

    die technische Verarbeitung der durch das o. g. Verfahren erzeugten Daten fehlerfrei sichergestellt ist.

Datum, Datum,
(Die für den Landesbetrieb zuständige oberste Landesbehörde) (BfdH des Landesbetriebes)