Anlage 3

(zu Nummer 7 der VV zu §§ 70 bis 72 und 74 bis 80)

1. Allgemeines

Die Abläufe im Haushalts-, Kassen- und Rechnungswesen gemäß VV Nr. 7 werden zunehmend ganz oder teilweise unter Einsatz von automatisierten, integrierten IT-gestützten Buchführungs- und Rechnungslegungssystemen abgebildet. Hierunter sind solche Verfahren zu verstehen, bei denen alle Arbeitsschritte grundsätzlich ohne Unterbrechung auf elektronischem Wege ablaufen. Das ist auch der Fall, wenn Arbeitsschritte in einem abgesetzten Verfahren (Vorverfahren) bearbeitet und deren Ergebnisse elektronisch in das zentrale automatisierte HKR-Verfahren übergeben werden.

Darüber hinaus werden im Haushalts-, Kassen- und Rechnungswesen zunehmend die aufbewahrungspflichtigen Unterlagen in elektronischer Form aufbewahrt. Diese gelten als Unterlagen gemäß VV Nr. 5.7.

Das Haushaltswirtschaftssystem (HWS) des MF ist das führende System im Haushalts-, Kassen- und Rechnungswesen. Das HWS, sowie die dem HWS vorgelagerten Verfahren, mit denen Daten für die Erhebung von Einnahmen und die Leistung von Ausgaben erzeugt und an das führende System übergeben werden, unterliegen den Bestimmungen dieser Vorschrift.

2. Geltungsbereich

Die folgenden Regelungen finden Anwendung auf automatisierte Verfahren für das Haushalts-, Kassen- und Rechnungswesen. Dies sind Verfahren für

1. 2.1

   Anordnungen,

2. 2.2

   Zahlungen,

3. 2.3

   Geldverwaltung und Abrechnung,

4. 2.4

   Buchführung, Belegung der Buchungen, Abschlüsse und Rechnungslegung,

5. 2.5

   Kartenzahlverfahren,

6. 2.6

   elektronische Zahlungsverkehrssysteme, soweit diese nicht den "Besonderen Bedingungen der Deutschen Bundesbank für die Datenfernübertragung via EBICS für sonstige Kontoinhaber ohne Bankleitzahl (EBICS-Bedingungen)" entsprechen oder mit diesen konform gehen.

3. Verantwortlichkeit

3.1 Die oder der Beauftragte für den Haushalt ist verantwortlich für die Ordnungsmäßigkeit der Buchführung in der Dienststelle. Dies gilt insbesondere für die Buchführung über Forderungen und Verbindlichkeiten (Soll-Buchführung) aufgrund elektronischer Kassenanordnungen, die Mittelverteilung sowie für die Abwicklung der dienststellenbezogenen Verwahrungs- und Vorschussbuchungen (Ist-Buchführung).

3.2 Für die Einhaltung der nachfolgenden Bestimmungen für den Einsatz eines Verfahrens nach Nummer 1 ist die oberste Landesbehörde verantwortlich, die für den Einsatz des Verfahrens zuständig ist oder für deren Geschäftsbereich das Verfahren genutzt werden soll. Dies beinhaltet nicht nur die Gewährleistung der Ordnungsmäßigkeit - insbesondere für die Richtigkeit der Programme -, die Sicherheit und die Wirtschaftlichkeit der Verfahren sowie für den Schutz der damit gespeicherten Daten, sondern auch für die Unterlagen nach Nummer 1 einschließlich der eingesetzten Verfahren. Dies gilt auch bei einer teilweisen oder vollständigen organisatorischen und technischen Auslagerung der Buchführung und Rechnungslegung auf Dritte.

Die für den Betrieb zuständige oberste Landesbehörde hat bei erstmaligem Einsatz oder bei wesentlichen Erweiterungen und Anpassungen eines Verfahrens nach den Nummern 4.1.1 und 4.1.2 das für die zentrale Steuerung der Informationstechnik zuständige MI zu beteiligen und eine Stellungnahme über die Konformität des Verfahrens mit den Landesstandards für HKR-IT-Verfahren und dem aktuellen Stand der Technik einzuholen. Die Dokumentation von derartigen Verfahren ist gegen Verlust, Beschädigung und den Zugriff Unbefugter gesichert aufzubewahren.

4. Entwicklung und Betrieb eines HKR-IT-Verfahrens

Für die Entwicklung und den Betrieb eines HKR-IT-Verfahrens muss sämtlichen vom MI festgelegten landesweiten IT-Standards entsprochen werden.

4.1
Anforderungen an dem HWS vorgelagerten Vorverfahren

4.1.1 Für Vorverfahren, bei denen eine Freigabe nicht im HWS, sondern im Vorverfahren direkt erfolgt, gelten sämtliche festgelegten Standards des HWS. Dies gilt für

1. 4.1.1.1

   Vorverfahren mit externer Zahlbarmachung, bei denen die Einzahlungen oder Auszahlungen nicht automatisch durch das HWS, sondern unter Verwendung der im Vorverfahren erstellten Zahlungsverkehrsdateien bewirkt werden,

2. 4.1.1.2

   Vorverfahren mit interner Zahlbarmachung, bei denen Dateien mit Zahlungsanordnungen (Anordnungsdateien) zur Erzeugung von einzelnen Sollbuchungen an das HWS übergeben werden und bei denen aufgrund der bei den einzelnen Haushaltstiteln vorhandenen Sollbuchungen die Zahlbarmachung durch das HWS vorgenommen wird.

4.1.2 Vorverfahren mit Freigabe im HWS, bei denen die im Vorverfahren erzeugten Kassenanordnungen in das HWS geleitet und dort freigegeben werden, müssen lediglich folgende Kriterien erfüllen:

1. 4.1.2.1

   ein Berechtigungskonzept,

2. 4.1.2.2

   ein definiertes Verfahren zur Vergabe von Berechtigungen,

3. 4.1.2.3

   Einhaltung der vom MI jeweils veröffentlichten Passwortkonventionen des Landes,

4. 4.1.2.4

   vollständige und richtige Verarbeitung über mehrere Prozessschritte,

5. 4.1.2.5

   Gewährleistung der Richtigkeit der Schnittstellenverarbeitung,

6. 4.1.2.6

   Sicherstellung der Unveränderbarkeit der buchungs- und zahlungsrelevanten Daten bis zur Bereitstellung auf dem Übergabeserver,

7. 4.1.2.7

   Bestätigung der sachlichen Richtigkeit durch die Erfasserin oder den Erfasser der Anordnung,

8. 4.1.2.8

   Übertragung sämtlicher Daten der Anordnung inklusive der HWS-Kennung der Feststellerin oder des Feststellers in das HWS.

4.2
Abgrenzung der Aufgaben- und Verantwortungsbereiche, Zugriffskontrollen

4.2.1 Grundsätzlich sind mindestens die Bereiche Datenerfassung und Datenverarbeitung gegeneinander abzugrenzen.

4.2.2 Die Abgrenzung der Aufgaben- und Verantwortungsbereiche der an automatisierten Verfahren im Haushalts-, Kassen- und Rechnungswesen Beteiligten ist durch Dienstanweisung zu regeln. Berechtigungen dürfen nur eingerichtet werden, soweit dies zur Aufgabenerfüllung zwingend erforderlich ist (Prinzip der minimalen Berechtigung). Es ist ein Verfahren für die Verwaltung der Berechtigungen (Einrichtung, Veränderung, Entzug) festzulegen. Das Verfahren muss sicherstellen, dass zu jedem Zeitpunkt festgestellt werden kann, welche Personen, einschließlich Administratorinnen oder Administratoren und andere Systemverwalterinnen oder Systemverwalter, zu welchem Zeitpunkt mit welchen Berechtigungen ausgestattet gewesen sind. Die Verwaltung von Berechtigungen, insbesondere die Identität der Personen, die die Berechtigungen zuweisen und denen die Berechtigungen zugewiesen werden, ist zu dokumentieren. Die für die Verfahren nach den Nummern 4.1.1.2 und 4.1.2 erforderlichen dienststellenbezogenen Zugangs- und Zugriffsberechtigungen sind analog der Kennungen für das automatisierte HWS über das HWS-Modul zur Bearbeitung von Nutzerdaten zu beantragen. Anschließend sind sie in die Benutzerverwaltungen dieser Verfahren zu implementieren oder vor Übertragung der Anordnungsdaten in der Schnittstelle auszutauschen. Dabei ist sicherzustellen, dass die jeweilige HWS-Kennung auch in diesen Verfahren nur von der Person verwendet wird, der sie im HWS zugeordnet ist. Die Überwachung der Übereinstimmung der im HWS und in den Verfahren nach den Nummern 4.1.1.2 und 4.1.2 hinterlegten Kennungen obliegt den Betreiberinnen und Betreibern dieser Verfahren.

4.2.3 Beim Einsatz automatisierter Verfahren ist sicherzustellen, dass eine Zugriffskontrolle gewährleistet ist und in den Arbeitsablauf nicht unbefugt eingegriffen werden kann. Der Zugriff ist zu schützen (Benutzerkennung, Passwort, Abstufung der Zugriffsberechtigung). Die aktuellen Regelungen für die Passwortbildung gemäß der "Kurzanleitung zur Vergabe von Passwörtern für HWS-Kennungen" in der Infor Web-Hilfe sind zu beachten.

4.3
Datenerfassung und Datenverarbeitung

4.3.1 Die Datenerfassung ist die verarbeitungsgerechte Übernahme von ermittelten Daten in ein automatisiertes Verfahren, um diese Daten weiter zu bearbeiten. Sie kann erfolgen durch manuelle oder andere Eingabe von Daten schriftlicher Unterlagen oder Übernahme elektronischer Daten in das Verfahren. Die richtige und vollständige Erfassung und Freigabe der Daten ist nach Maßgabe der VV zu §§ 70 bis 72 und 74 bis 80 zu bescheinigen und zu prüfen/freizugeben (Vier-Augen-Prinzip). Soweit erforderlich, ist der Transport von maschinell lesbaren Datenträgern durch Begleitbelege zu sichern.

4.3.2 Die Datenverarbeitung ist für die ordnungsgemäße Verarbeitung der Daten verantwortlich. Hierzu gehören insbesondere die richtige und vollständige Übernahme der Daten, die richtige und vollständige technische Durchführung der Verarbeitung, die Wiederholbarkeit der Verarbeitung im Fall nicht einwandfreier Arbeitsergebnisse, die vollständige Durchführung der ihr obliegenden organisatorischen und sonstigen Kontrollen, die Sicherung der Datenbestände und der Programme gegen Verlust, unzulässige Weitergabe, unbeabsichtigte und unbefugte Veränderung und die richtige und vollständige Weiterleitung der Arbeitsergebnisse.

4.3.3 Bei Datenfernübertragung ist sicherzustellen, dass die Daten richtig und vollständig gesendet und empfangen werden, die Übertragung der Daten wiederholt werden kann und die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.

4.3.4 Es ist sicherzustellen, dass bereits verarbeitete Daten nicht erneut verarbeitet werden und es nicht zu Mehrfachzahlungen oder Mehrfachbuchungen kommt.

4.4
Prüfung der Verfahrensabläufe

Durch mindestens stichprobenweise Prüfung der Dienststellenleiterin oder des Dienststellenleiters oder einer durch sie oder ihn beauftragten Person ist sicherzustellen, dass die genehmigten Verfahrensabläufe und die getroffenen Regelungen eingehalten werden. Bei der Prüfung ist darauf zu achten, dass die erforderlichen Belege vorhanden sind und vorschriftsmäßig aufbewahrt werden. Die Prüfung ist zu bescheinigen.

4.5
Belegfunktion

4.5.1 Belegverarbeitung

Aus den konzeptionellen Unterlagen des Verfahrens muss ersichtlich sein, wie die elektronischen Belege erfasst, empfangen, verarbeitet, ausgegeben und aufbewahrt werden (Nummern 6.1 und 6.2).

4.5.2 Belegsicherung

Die Belege sind unmittelbar nach Eingang oder Entstehung gegen Verlust zu sichern (Nummern 6.1 und 6.2). Zur Sicherung der Beweiskraft nach VV Nr. 5.1.1 sind Belege und Buchungen so zu kennzeichnen, dass sie gegenseitig eindeutig zugeordnet werden können. Liegen den Buchungen automatisierte Berechnungsprozesse teilweise oder vollständig zugrunde, sind sie in der Verfahrensdokumentation nachzuweisen. Änderungen der automatisierten Berechnungsprozesse sind nur mittels eines autorisierten Änderungsverfahrens zulässig.

4.6
Einwilligung zum Betrieb

4.6.1 Unterrichtung, Einwilligungsverfahren

4.6.1.1 Das MF und der LRH sind über beabsichtigte Verfahren nach Nummer 1 so rechtzeitig zu informieren, dass sie ggf. die Gestaltung des Verfahrens beeinflussen können. Die Einwilligungsantragsunterlagen sind dem MF vor Durchführung des Schnittstellentests gemäß Nummer 4.6.1.2 vorzulegen.

4.6.1.2 Sollen Verfahren nach Nummer 1 eingeführt oder wesentlich geändert werden, so bedarf es der Einwilligung des MF. Hierfür hat die nach Nummer 3 zuständige Stelle die Bescheinigung gemäß Nummer 7 und die Stellungnahme des MI nach Nummer 3.2 vorzulegen. Soweit vorgelagerte Verfahren Daten an das HWS des Landes übergeben, muss vor deren Einsatz das MF die Schnittstelle hinsichtlich deren Funktionalität (Datenübermittlung und Verarbeitungsfähigkeit) prüfen und die Richtigkeit der Verarbeitungsergebnisse feststellen. Das MF hat das Einvernehmen mit dem LRH herbeizuführen.

4.6.1.3 Dem MF und dem LRH ist Gelegenheit zu geben, am Test des Verfahrens teilzunehmen.

4.6.1.4 Der Unterrichtung und Einwilligung bedarf es auch, wenn Verfahren oder Verfahrensteile anderer Betreiberinnen und Betreiber übernommen oder wenn die Entwicklung oder die Anwendung von Verfahren oder Verfahrensteilen auf Stellen außerhalb der Landesverwaltung übertragen werden sollen.

5. Internes Kontrollsystem (IKS)

Als IKS wird grundsätzlich die Gesamtheit aller aufeinander abgestimmten und miteinander verbundenen Kontrollen, Maßnahmen und Regelungen bezeichnet.

5.1 Kontrollmaßnahmen

Zur Einhaltung des IKS sind Kontrollen einzurichten, auszuüben und zu protokollieren. Hierzu gehören insbesondere

• regelmäßige Überprüfung und Dokumentation der Zugangsberechtigungen der Personen (Nutzerinnen und Nutzer) zu einer IT-Anwendung (Benutzerkennungen), sowie der eingerichteten Zugriffsrechte entsprechend ihrer tatsächlichen Funktion (Überprüfung der Umsetzung des Rollen- und Rechtekonzepts),

• Einhaltung der Funktionstrennungen,

• Erfassungs- und Abstimmungskontrollen (z. B. Fehlerhinweise, Plausibilitätsprüfungen),

• Verarbeitungskontrollen,

• Einhaltung der Schutzmaßnahmen gegen die beabsichtigte und unbeabsichtigte Verfälschung von Programmen und elektronischen Unterlagen und

• Sicherstellung von Änderungen von automatisierten Berechnungsprozessen nur mittels autorisierter Änderungsverfahren.

5.2 Anlassbezogene Prüfungen

Im Rahmen eines IKS muss auch anlassbezogen (z. B. Systemwechsel) geprüft werden, ob das eingesetzte HKR-IT-Verfahren dem dokumentierten Verfahren entspricht.

6. Aufbewahrung von elektronischen Unterlagen

6.1
Allgemeine Aufbewahrungsplichten

Der sachliche Umfang der Aufbewahrungspflicht ergibt sich aus der VV Nr. 5.7.

6.2
Besondere Aufbewahrungspflichten

6.2.1 Bei elektronischen Unterlagen ist ihr Eingang, ihre Aufbewahrung und ggf. Konvertierung sowie die weitere Verarbeitung zu protokollieren. Dabei muss sichergestellt sein, dass die beteiligten und verantwortlichen Personen und der Umfang der von ihnen jeweils wahrgenommenen Verantwortung eindeutig, dauerhaft und unveränderlich unter Angabe des Datums und (ggf.) der Uhrzeit systemseitig dokumentiert werden und der Zusammenhang der einzelnen Unterlagen zu einem Geschäftsvorfall gewahrt bleibt.

6.2.2 Die Unterlagen sind so geordnet aufzubewahren, dass innerhalb einer angemessenen Frist einzelne Unterlagen zur Verfügung stehen.

6.2.3 Sind aufbewahrungspflichtige elektronische Unterlagen in einem HKR-IT-Verfahren entstanden oder eingegangen, so sind diese Daten in der Form der Erstellung oder der Übernahme unveränderbar aufzubewahren und dürfen vor Ablauf der Aufbewahrungsfrist nicht gelöscht werden. Dies gilt unabhängig davon, ob die Aufbewahrung im Produktivsystem oder durch Auslagerung in ein Archivsystem erfolgt. Es ist sicherzustellen, dass die elektronischen Unterlagen innerhalb der Aufbewahrungszeit auch nach einem Wechsel der zum Zeitpunkt der Speicherung eingesetzten HKR-IT-Verfahren lesbar gemacht und ausgewertet werden können.

6.2.4 Elektronische Unterlagen sind in einem sicheren Verfahren unveränderbar, gegen Verlust, Beschädigung und den Zugriff Unbefugter geschützt aufzubewahren. Es muss sichergestellt sein, dass die Haltbarkeit, die Lesbarkeit und die maschinelle Auswertbarkeit der Unterlagen während der Dauer der Aufbewahrung nicht beeinträchtigt werden.

6.2.5 Eingehende elektronische Unterlagen sind im Rahmen der sachlichen Feststellung auf Integrität und Authentizität zu prüfen. Bei den elektronischen Unterlagen ist auf deren Inhalt abzustellen. So ist z. B. eine E-Mail in elektronischer Form aufbewahrungspflichtig, wenn sie sich als originäre begründende Unterlage darstellt. Dient eine E-Mail nur als "Transportmittel", z. B. für eine angehängte elektronische Rechnung, und enthält darüber hinaus keine weitergehenden aufbewahrungspflichtigen Informationen, so ist diese nicht aufbewahrungspflichtig.

6.2.6 Elektronische Unterlagen sind jederzeit innerhalb einer angemessenen Frist lesbar zu machen. Es ist sicherzustellen, dass die elektronische Unterlage unter dem Kennzeichen verwaltet und mit weiteren dazugehörigen Unterlagen zusammengeführt werden kann. Dies gilt für die gesamte Aufbewahrungsfrist.

6.2.7 Die elektronischen Bearbeitungsvorgänge sind zu protokollieren und mit der elektronischen Unterlage zu speichern, damit die Nachvollziehbarkeit und Prüfbarkeit des Originalzustandes und seiner Ergänzungen gewährleistet ist.

6.2.8 Die Aufbewahrung elektronischer Unterlagen bei Bargeschäften kann das MF regeln.

6.3
Prüfbarkeit der aufbewahrungspflichtigen elektronischen Unterlagen

Die elektronischen Unterlagen müssen für die Rechnungsprüfung und für die Aufgaben nach § 9 BHO/LHO auch maschinell auswertbar sein.

6.4
Elektronische Erfassung von Unterlagen in Papierform

6.4.1 Unterlagen in Papierform werden durch den Scanvorgang in elektronische Unterlagen umgewandelt. Es muss dabei sichergestellt werden, dass das Original mit der gescannten Unterlage übereinstimmt und der Zusammenhang der einzelnen Unterlagen gewahrt bleibt.

6.4.2 Die Unterlagen in Papierform dürfen nach dem fehlerfreien Scanvorgang vernichtet werden und die weitere Bearbeitung darf nur noch mit der elektronischen Unterlage erfolgen. Dies gilt nicht, wenn Rechtsvorschriften oder andere zwingende Gründe dem entgegenstehen.

6.4.3 Das Verfahren muss dokumentiert werden. Die zuständige Stelle muss eine Dienstanweisung erstellen, die u. a. regelt, wer nach dem Berechtigungskonzept scannen darf, zu welchem Zeitpunkt gescannt wird (z. B. beim Posteingang, während oder nach Abschluss der Vorgangsbearbeitung), welche Unterlagen gescannt werden, welche Unterlagen in Papierform nach dem Scanvorgang nicht vernichtet werden dürfen, wie die Qualitätskontrolle auf Lesbarkeit und Vollständigkeit erfolgt, wie die elektronische Unterlage einem Geschäftsvorfall zugeordnet wird und wie Fehler protokolliert werden.

7. Inhalt der Bescheinigung nach Nummer 4.6.1.2

Bescheinigung über die Mindestanforderungen für den Einsatz von dem HWS vorgelagerten Vorverfahren

Bezeichnung des Verfahrens:

Art des Vorverfahrens:

Schnittstelle zum HWS:

Testumgebung:

Es wird bescheinigt, dass

1. 1.

   das o. a. Verfahren den Voraussetzungen dieser Anlage entspricht und die erzeugten Daten unter Einhaltung der genannten Voraussetzungen ohne fachliche oder inhaltliche Mängel bereitgestellt werden;

2. 2.

   die technische Verarbeitung der durch das o. a. Verfahren erzeugten Daten fehlerfrei sichergestellt ist;

3. 3.

   für den Fall, dass eine Schnittstelle zum HWS genutzt wird, die Übertragung der durch das o. a. Verfahren erzeugten Daten in das HWS uneingeschränkt und fehlerfrei sichergestellt ist.