1. EXXETA
  2. /
  3. Branchen
  4. /
  5. Financial Services
  6. /
  7. Asset Management
  8. /
  9. KAIT

KAIT

Am 08.04.2019 stellte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) den Entwurf eines Rundschreibens zu den Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) zur Konsultation. Bereits Ende 2017 wurden die Bankaufsichtlichen Anforderungen an die IT (BAIT) und Mitte 2018 die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) veröffentlicht. Mit den am 02.10.2019 veröffentlichen KAIT erfolgte die Erläuterung der BaFin bezüglich der Mindestanforderungen, insbesondere an die IT-Governance und Informationssicherheit, die von KVGen mit Erlaubnis nach § 20 Abs. 1 Kapitalanlagegesetzbuch (KAGB) einzuhalten sind. Die BaFin setzt damit ihre Reihe der Anforderungen an die IT-Landschaft im Finanzsektor fort.

Ihre Herausforderungen

Die KAIT stellen eine Konkretisierung bereits bestehender Vorschriften aus dem KAGB beziehungsweise aus den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) hinsichtlich der IT dar. Vom Umfang der gesetzten Anforderungen gehen sie jedoch weit über diese hinaus. Damit fügen sie sich in die Verwaltungspraxis der BaFin im Sinne der BAIT und VAIT ein.

Die acht Anforderungsbereiche (siehe Darstellung weiter unten) der KAIT legen unter anderem Vorgaben zur IT-Governance, Informationssicherheit sowie zur Entwicklung und dem Betrieb von IT-Systemen fest. Darüber hinaus werden auch IT-Projekte, IT-Betrieb und Auslagerungen respektive der Fremdbezug von IT-Dienstleistungen behandelt.

Für KVGen bedeuten die Vorgaben der KAIT vor allem eine Steigerung der Dokumentations- und Kontrollanforderungen in der IT sowie die Notwendigkeit einer stärkeren Transparenz von verarbeiteten Informationen in den IT-Systemen und den dazugehörigen Prozessen. Für die Herstellung einer angemessenen Compliance bedarf es einer individuellen Herangehensweise zur Definition eines risikobezogenen Soll-Zustandes.

Die wichtigsten Punkte der KAIT sind:

  • Identifikation, Bewertung, Überwachung und Steuerung von IT-Risikokriterien, IT-Risiken sowie von Schutzbedarf und Schutzmaßnahmen
  • Sollmaßnahmenkatalog zu Umsetzung der Schutzziele
  • Per­so­nalausstattung und -kompetenzen
  • Tech­nisch-orga­ni­sa­to­ri­sche Aus­stat­tung
  • IT-Aufbau- und Ablauforganisation
  • Konformität der IT-Geschäfts­ak­ti­vi­tä­ten und Orga­ni­sa­ti­ons­richt­li­nien
  • Implementierung und Prüfung von Notfallmaßnahmen
  • Definition der IT-Strategie (Ziele und Maßnahmen)
  • Über­prüf­bar­keit der Zie­l­er­rei­chung
  • Abstimmung und Kommunikation mit Auf­sicht­s­or­gan
  • Abgrenzung von Auslagerung und sonstigem Fremdbezug
  • Risikobewertung, Überwachung
  • Vertragsgestaltung
  • Verwaltung und Aktualisierung der IT-System-Komponenten
  • Lebens-Zyklus Management des IT-System Portfolios
  • Analyse, Steuerung und Dokumentation von Störungen im Regelbetrieb
  • Spezifizierung organisatorischer Grundlagen
  • Festlegung von Steuerungs- und Überwachungsprozessen
  • Zuordnungsmöglichkeit nicht personalisiertet Berechtigungen
  • Trennung von Produktion und Testumfeld
  • Erstellung und Anpassung von Berechtigungskonzepten
  • Zuordnungsmöglichkeit, Überprüfbarkeit
  • Protokollierungsmaßnahmen, Rezertifizierung
  • Etablierung eines Infor­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB)
  • Ausgestaltung der ISB Funktion unter Vermeidung von Interessenkonflikten

Unser Angebot

Unsere KAIT Experten von EXXETA ermitteln zunächst den aktuellen Erfüllungsgrad der KAIT-Anforderungen in Ihrem Unternehmen. Auf Basis dieses Compliance Checks beraten wir Sie hinsichtlich der notwendigen Maßnahmen zur vollständigen Umsetzung der KAIT-Anforderungen.

Beispielhaftes Projektvorgehen

KAIT Compliance Check
  • Identifikation relevanter Geschäftsbereiche, Funktionen und Systeme
  • KAIT Compliance Check zum Erfüllungsgrad der regulatorischen Anforderungen
  • Identifizierung von kritischen Erfolgsfaktoren


Ergebnis:

Ergebnisbericht hinsichtlich des Erfüllungsgrades der KAIT-Anforderungen (Ist-Situation)

Gap-Analyse
  • Definition einer individuellen  risikobezogenen Soll-Situation
  • Durchführung des individuell definierten Soll-Zustandes mit dem Ist-Zustand


Ergebnis:

  • Definierter individueller risikobezogener Zielerreichungsgrad
  • Analyse und Darstellung der Schwachstellen und Gaps

Umsetzungsvorbereitung
  • Festlegung von Maßnahmen zur Steigerung des Erfüllungsgrades
  • Erstellung einer Roadmap zur Umsetzung


Ergebnis:

  • Abgeleitete Maßnahmen zur Schwachstellen­beseitigung
  • Projektplan zur risikoorientierten Maßnahmenumsetzung

Umsetzung

Implementierung der erforderlichen Anpassungen

  • Prozesse
  • Dokumentationen
  • Systemlandschaft


Ergebnis:

Sicherstellen der KAIT Compliance

Ihre Vorteile

Um die norminterpretierenden Verwaltungsvorschriften der BaFin effektiv in der KVG umsetzen zu können benötigt es einen zuverlässigen und kompetenten Partner. Mit unserer profunden Erfahrung und Expertise bei namhaften Finanzinstituten bieten wir Ihnen eine ganzheitliche Unterstützung von der Analyse über die Konzeption bis hin zur Implementierung, Optimierung, Digitalisierung und Automatisierung Ihrer institutsspezifischen Prozesse an.

Durch unsere methodisch effiziente Vorgehensweise und dem Blick für das Ganze gelingt Ihnen die Herstellung einer bestmöglichen KAIT Compliance. Hierfür arbeiten wir in interdisziplinären Expertenteams für Geschäftsprozesse und IT.

Sprechen Sie uns an

Sprechen Sie uns an

Ihr EXXETA Ansprechpartner Nebojsa Tesic im Portrait

Nebojsa Tesic

Partner

+49 162 131 96 73

Mail Kontakt

Sprechen Sie uns an

Daniel Schäfer

Manager

+49 174 9951137

Mail Kontakt