Inhalt

VV-BayHO
in Kraft ab: 01.01.2017
Fassung: 05.07.1973
Anlage 3 zu den VV zu Art. 79 BayHO

(zu Nr. 17 zu Art. 79 BayHO)
Bestimmungen über den Einsatz von automatisierten Verfahren
im Haushalts-, Kassen- und Rechnungswesen
(HKR-ADV-Best)
Inhaltsübersicht
1.
Geltungsbereich
2.
Unterrichtung
3.
Mindestanforderungen
4.
Risikoanalyse
5.
Verfahrenstest
6.
Berechtigungskonzept
7.
Datenermittlung und Datenerfassung
8.
Datenverarbeitung
9.
Datenfernübertragung
10.
Verfahrensfreigabe
11.
Aufbewahrungsbestimmungen

1. Geltungsbereich

1.1

1Für die Entwicklung, den Betrieb und die Änderungen von Verfahren der Informations- und Kommunikationstechnik (IuK) im Bereich des Haushalts-, Kassen- und Rechnungswesens (insbesondere für die Berechnung und Festsetzung von Einzahlungen und Auszahlungen, Bewirtschaftung von Haushaltsmitteln und Beständen, Erteilung von Kassenanordnungen, Zahlbarmachung, Buchführung oder Rechnungslegung) gelten die nachfolgenden Bestimmungen. 2Zu diesen HKR-Verfahren rechnen auch Vorverfahren.

1.2

1Für die HKR-Verfahren nach Nr. 1.1 gelten die Standards und Richtlinien für die Informations- und Kommunikationstechnik in der Bayerischen Verwaltung (IuKSR). 2Auch sind die vorhandenen Regelungen über den Datenschutz und die Datensicherheit zu beachten.

1.3

1Diese Anlage gilt auch für Verfahren oder Verfahrensteile, die außerhalb der Staatsverwaltung entwickelt, betrieben oder geändert werden. 2Zu diesem Zweck sind diese Anlage sowie die in Nr. 1.2 genannten weiteren Verwaltungsvorschriften bei Ausschreibungen und Verträgen mit Dritten als Leistungsbeschreibung beizufügen.

2. Unterrichtung

2.1

Das für Finanzen zuständige Staatsministerium und der Oberste Rechnungshof sind über beabsichtigte Vorhaben nach Nr. 1 – zusätzlich zu der ggf. nach der Richtlinie für die Anzeige von IuK-Vorhaben (BayITR-01) vorgeschriebenen Anzeigepflicht – rechtzeitig, spätestens vor Festlegung des Grobkonzeptes, zu unterrichten.

2.2

1Die obersten Staatsbehörden übermitteln dem Obersten Rechnungshof jährlich bis zum 1. Juli eine Aufstellung der am 1. April im Einsatz befindlichen HKR-Verfahren. 2Das Landesamt für Finanzen übermittelt dem Obersten Rechnungshof jährlich bis zum 1. Juli eine Aufstellung der am 1. April im Einsatz befindlichen HKR-Verfahren, die es nach Nr. 3 Buchst. g zugelassen hat.

3. Mindestanforderungen

Bei der Durchführung der Verfahren nach Nr. 1 ist sicherzustellen, dass
a)
nur dokumentierte und gültige Programme verwendet werden,
b)
die Aufgaben- und Verantwortungsbereiche der am Verfahren Beteiligten festgelegt und gegeneinander abgegrenzt sind, die Zugangs- und Zugriffskontrolle gewährleistet ist, in den Arbeitsablauf nicht unbefugt eingegriffen werden kann und die Zugriffsrechte (Rollen und Berechtigungen, schreibend und lesend) lückenlos und nachvollziehbar dokumentiert werden,
c)
die Richtigkeit und Vollständigkeit der Datenerfassung und der Datenverarbeitung durch organisatorische und programmierte Kontrollen (z.B. durch stichprobenartige Prüfungen, Kontrollsummen, Plausibilitätskontrollen, Prüfziffern, usw.) gewährleistet sind,
d)
jede Veränderung von Dateien nachvollziehbar ist; tritt die Veränderung durch das Ergebnis einer Kumulierung von Datensätzen ein, so muss auch diese nachvollziehbar sein,
e)
Vorkehrungen gegen einen Verlust, unzulässige Weitergabe und eine unbefugte Veränderung der gespeicherten Daten (Dateien und Verarbeitungsprogramme) getroffen sind,
f)
bei allen Speicherungsverfahren die Lesbarmachung der Daten sichergestellt ist,
g)
eine Zulassung des Verfahrens durch das Landesamt für Finanzen betreffend die Funktionalität des Datenaustausches mit anderen staatlichen HKR-Verfahren und
h)
eine Freigabebescheinigung des Auftraggebers (Nr. 10) vorliegt.

4. Risikoanalyse

1In einer Risikoanalyse sind die Risiken zu ermitteln, zu bewerten und zu dokumentieren. 2Die Einführung und die wesentlichen Änderungen eines automatisierten Verfahrens sind nur zulässig, wenn die ermittelten relevanten Risiken durch technische und organisatorische Maßnahmen beherrscht werden können (z.B. maschinell erstellte Fehlerlisten und Prüfung deren Abarbeitung).

5. Verfahrenstest

1Alle neuen oder geänderten Verfahren oder Verfahrensteile sind ausreichend zu testen. 2Mit dem Verfahrenstest sollen die Funktionsfähigkeit, die Betriebssicherheit und die Verfahrenssicherheit aller Verfahrensteile nachgewiesen werden. 3Dem Obersten Rechnungshof ist Gelegenheit zu geben, sich am Test neuer oder erheblich geänderter Verfahren zu beteiligen.

6. Berechtigungskonzept

6.1

1Die Einzelheiten zur Abgrenzung der Verantwortlichkeiten (Berechtigungskonzept) und die weiteren Sicherungsmaßnahmen sind in einer Dienstanweisung darzustellen. 2Grundsätzlich sind mindestens die Bereiche Administration, Datenermittlung, Datenerfassung und Datenverarbeitung gegeneinander abzugrenzen. 3Erledigt eine Person in Verfahren, die zu Zahlungen führen, Aufgaben aus mehr als einem dieser Bereiche, oder ist im Bereich Datenverarbeitung die Trennung nach den Funktionsbereichen Systemprogrammierung, Verfahrensentwicklung und -pflege, Arbeitsvorbereitung, Verarbeitung, Arbeitsnachbereitung und Archivierung nicht möglich, so ist das Vier-Augen-Prinzip erforderlich.

6.2

1Durch mindestens stichprobenweise Prüfung ist sicherzustellen, dass die genehmigten Verfahrensabläufe und die getroffenen Regelungen eingehalten werden. 2Bei der Prüfung ist auch darauf zu achten, dass die erforderlichen Belege vorhanden sind und vorschriftsmäßig aufbewahrt werden. 3Das Nähere über die Durchführung der Prüfung ist durch Dienstanweisung zu regeln.

7. Datenermittlung und Datenerfassung

7.1

1Der Bereich Datenermittlung ist für die richtige und vollständige Ermittlung der Daten verantwortlich. 2Durch Dienstanweisung ist mindestens zu regeln,
a)
inwieweit und in welcher Form die Richtigkeit von Erfassungs- oder Eingabebelegen, die nicht bereits als Zahlungsanordnungen, deren Anlagen oder begründende Unterlagen nach den VV Nrn. 6 bis 10 zu Art. 70 BayHO festgestellt sind, zu bescheinigen ist und
b)
inwieweit und in welcher Form der Transport von Erfassungs- oder Eingabebelegen durch Arbeitsablaufbelege zu sichern ist.

7.2

1Der Bereich Datenerfassung ist für die gesicherte, richtige und vollständige Erfassung der zu verarbeitenden Daten verantwortlich. 2Die richtige und vollständige Erfassung ist zu bescheinigen und durch eine geeignete Prüfung zu sichern. 3Werden die Datenermittlung und die Datenerfassung von einer Person vorgenommen (Bearbeitereingabe), so ist in diese Prüfung auch die Datenermittlung einzubeziehen. 4In Verfahren, die zu Zahlungen führen, ist die Prüfung zahlungsrelevanter Daten vor der Festsetzung oder Zahlbarmachung durchzuführen. 5Das Nähere über die Art der Sicherung, der Erfassung und der Bescheinigung sowie über die Art und den Umfang der Prüfung ist durch Dienstanweisung zu regeln.

7.3

1Führt die Erfassung zur Direktverarbeitung von Daten, so sind Regelungen der Zugriffskontrolle (z.B. Benutzerkennung, Passwort, Abstufung der Zugriffsberechtigung) zu treffen. 2Die Zugriffe sind zu protokollieren. 3Das Nähere hierzu ist durch Dienstanweisung zu regeln.

8. Datenverarbeitung

8.1

Der Bereich Datenverarbeitung ist für die ordnungsgemäße Verarbeitung der Daten verantwortlich, insbesondere für
a)
die richtige und vollständige Übernahme der Daten zur Verarbeitung,
b)
die richtige und vollständige technische Durchführung der Verarbeitung mit den dokumentierten, freigegebenen und gültigen Programmen,
c)
die Wiederholbarkeit der Verarbeitung im Falle nicht einwandfreier Arbeitsergebnisse,
d)
die vollständige Durchführung der ihm obliegenden organisatorischen und sonstigen Kontrollen,
e)
die Sicherung der Datenbestände und der Programme gegen Verlust, unzulässige Weitergabe, unbeabsichtigte und unbefugte Veränderung oder Verwendung durch technische und organisatorische Maßnahmen und
f)
die richtige und vollständige Weiterleitung der Arbeitsergebnisse.

8.2

1Die ordnungsgemäße Verarbeitung der Daten ist zu bescheinigen. 2Die Bescheinigung schränkt die Verantwortung anderer Stellen für die Richtigkeit der Arbeitsergebnisse entsprechend ein; sie ist gegebenenfalls eine Teilbescheinigung nach VV Nrn. 6 bis 9 zu Art. 70.

8.3

Das Nähere über die Sicherung des Arbeitsablaufs und die Maßnahmen im Störungsfall ist durch Dienstanweisung zu regeln.

9. Datenfernübertragung

9.1

Bei Datenfernübertragung ist sicherzustellen, dass
a)
die Daten richtig und vollständig gesendet und empfangen werden,
b)
der Transportweg gegen unbefugte Zugriffe gesichert wird,
c)
die Übertragung von Daten wiederholt werden kann und
d)
die Daten von Sende- und Empfangsdateien visuell lesbar gemacht werden können.

9.2

Der Transport von maschinell lesbaren Datenträgern ist durch Begleitbelege zu sichern.

9.3

Die zur Sicherung erforderlichen Maßnahmen sind durch Dienstanweisung festzulegen.

10. Verfahrensfreigabe

1Mit der Freigabebescheinigung übernimmt der Auftraggeber die Verantwortung dafür, dass das fertig gestellte oder geänderte Verfahren den fachlichen, organisatorischen, rechtlichen und datenschutzrechtlichen Anforderungen entspricht, ausreichend getestet wurde und eingesetzt werden darf. 2Die Freigabe des Verfahrens ist dem für Finanzen zuständigen Staatsministerium und dem Obersten Rechnungshof anzuzeigen.

11. Aufbewahrungsbestimmungen

11.1

Die vollständige Dokumentation von Verfahren nach Nr. 1, die Zulassung durch das Landesamt für Finanzen und die Freigabebescheinigung von Verfahren oder Verfahrensteilen sind gegen Verlust, Beschädigung und den Zugriff Unbefugter gesichert aufzubewahren.

11.2

1Für das Aufbewahren ist die Dienststelle oder der Auftragnehmer nach Nr. 1.3 zuständig, der das Verfahren entwickelt, betreibt oder ändert. 2Auftragnehmer haben diese Unterlagen bei Beendigung des Vertragsverhältnisses der Auftrag erteilenden Dienststelle zur Aufbewahrung zu übermitteln.

11.3

Die Aufbewahrungszeit beträgt zehn Jahre. Sie beginnt mit Ablauf des Haushaltsjahres, in dem die Verfahren oder Verfahrensteile letztmalig eingesetzt worden sind.

11.4

Soweit die Lesbarmachung von Daten sicherzustellen ist, müssen die gespeicherten Daten für zehn Jahre in dem für Informations- und Prüfungszwecke erforderlichen Umfang jederzeit innerhalb einer angemessenen Frist ausgedruckt oder auf sonstige Weise visuell lesbar gemacht werden können.