Die KAIT sind da – und jetzt?

Béla Maaß

Die kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) wurden am 1. Oktober 2019 von der BaFin veröffentlicht. Für die Umsetzung sind keine Fristen vorgesehen – trotzdem gilt es, einen kühlen Kopf zu bewahren.

Eine Hand hält eine halbierte Grapefruit.

Für wen gelten die KAIT?

Wie bereits in der Konsultationsfassung vorgesehen, müssen alle Kapitalgesellschaften die Anforderungen umsetzen, die gemäß § 17 i.V.m. § 20 Abs. 1 Kapitalanlagengesetzbuch (KAGB) erlaubnispflichtig sind. Keine Anwendung findet das Rundschreiben auf:

  • Kapitalverwaltungsgesellschaften, die lediglich registrierungspflichtig gemäß § 44 KAGB sind,
  • extern verwaltete Investmentgesellschaften,
  • Zweigniederlassungen von EU-Verwaltungsgesellschaften nach §§ 51 und 54 KAGB,
  • Verwahrstellen,
  • Treuhänder und
  • Bewerter.

Nur ein ganzheitlicher Ansatz führt zum Erfolg

Gut Ding will Weile haben. Auch wenn für die KAIT keine Umsetzungsfrist gelten, ist es unerlässlich, die Regularien gründlich und ganzheitlich zu betrachten. Denn es gilt Mehraufwand vorzubeugen und aus dem entstehenden Umsetzungsaufwand auch einen Mehrwert zu generieren.

Generell werden einige Themen bereits in Ihrer Organisation umgesetzt worden sein, auch wenn es eventuell an der nötigen Dokumentation oder dem Bewusstsein hierfür fehlt. Daher ist eine GAP-Analyse, die klärt, inwieweit die Forderungen der KAIT bereits in Ihrer Organisation umgesetzt sind, unerlässlich.

Folgende Punkte werden durch das Rundschreiben geregelt und müssen entsprechend in der GAP-Analyse berücksichtigt werden:

  • IT-Strategie,
  • IT-Governance,
  • Informationsrisikomanagement,
  • Informationssicherheitsmanagement,
  • Benutzerberechtigungsmanagement,
  • IT-Projekte, Anwendungsentwicklungen,
  • IT-Betrieb (inkl. Datensicherung),
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

 

Aus unseren Erfahrungen bestätigt sich oft folgendes Sprichwort: der Fisch fängt vom Kopf an zu stinken. Ist die IT-Strategie nicht konsistent oder fehlen elementare Vorgaben in der IT-Governance, kann man die darunter liegenden Bausteine, wenn überhaupt, nur mit viel Aufwand geordnet bearbeiten und entsprechend an den KAIT ausrichten.

Ausblick

In den kommenden Wochen stellen wir Ihnen daher unsere Erfahrungen aus diversen Projekten zu den bankaufsichtlichen Anforderungen an die IT (BAIT) und den versicherungsaufsichtlichen Anforderungen an die IT (VAIT) zu den einzelnen Punkten vor. Beide Vorgaben der BaFin stimmen zum großen Teil mit dem Rundschreiben zur KAIT überein. Mit dem wichtigen Unterschied, dass sowohl banken- als auch versicherungsseitig viele Aspekte bereits in den Mindestanforderungen an das Risikomanagement (MaRisk) bzw. den Mindestanforderungen an die Geschäftsorganisation (MaGo) geregelt sind. Neben Best-Practice Erfahrungen zu einer ressourcenschonenden Umsetzung erhalten Sie zudem Tipps, wie Sie aus der Umsetzung aufsichtsrechtlicher Vorgaben auch Performance- und Kostenvorteile für Ihre Kapitalgesellschaft generieren können.

Newsletter mit interessanten Beiträgen

Was gibt es Neues? Profitieren Sie von aktuellen und kostenfreien Arbeitsvorlagen, Buchartikeln, Seminarempfehlungen, Best-Practice-Ansätzen uvm. – so können Sie Ihre Arbeitsabläufe optimieren und neues Wissen in der Praxis einsetzen.

Hier geht es zur Anmeldung.

Zur Übersicht