Article

Herausforderungen der KAIT

Die KAIT detaillieren und verschärfen die Anforderungen an die IT für Kapitalverwaltungsgesellschaften nach dem Vorbild für Banken und Versicherungen

Anfang Oktober 2019 wurden die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) veröffentlicht. Die BaFin stellt in der Anfangsphase eine Aufsicht nach Augenmaß in Aussicht, gleichwohl besteht die Erwartungshaltung, dass KVGen umgehend mit der Umsetzung beginnen.

Überblick über die wesentlichen Anforderungen

Die BaFin hat Anfang Oktober 2019 die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) im Rundschreiben 11/2019 (WA) veröffentlicht. Die Anforderungen der KAIT betreffen alle Kapitalverwaltungsgesellschaften im Sinne des § 17 KAGB, soweit diese über eine Erlaubnis nach § 20 Abs. 1 KAGB verfügen.

Im Vergleich zu der zur Konsultation gestellten Fassung, kam es erwartungsgemäß zu keinen signifikanten Änderungen in den finalen KAIT. Die einzig nennenswerte Anpassung betrifft den Wegfall der inhaltlichen Berichtspflicht des Informationssicherheitsbeauftragten an den Aufsichtsrat.

Bereits in der im April 2019 zur Konsultation gestellten Fassung war für die Umsetzung der Anforderungen keine Übergangsphase vorgesehen. Dies wurde auch in den final veröffentlichten KAIT beibehalten, weshalb diese unmittelbar gelten. Die BaFin führt mit den KAIT die Detaillierung und Verschärfung der Anforderungen an die IT für KVGen nach dem Vorbild der bereits in den vergangenen Jahren veröffentlichten Anforderungen an Banken „Bankaufsichtliche Anforderungen an die IT (BAIT)“ und Versicherungsunternehmen „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“ fort.

Die Mindeststandards, die das Rundschreiben vorsieht, sind in acht Bereiche gegliedert, die sich wiederum in die Kategorien Operative Tätigkeiten, Steuerung und Governance gliedern lassen:

Die Umsetzung der Anforderungen ist prinzipienorientiert – vor allem soll dabei dem Proportionalitätsprinzip Rechnung getragen werden. Regelungen zur technisch-organisatorischen Ausstattung von KVGen, insbesondere zum Management der IT-Ressourcen und zum IT-Risikomanagement, werden konkretisiert. Die Anforderungen an die IT, die in den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) enthalten sind, bleiben dabei unberührt. Zentrales Ziel der KAIT ist, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den KVGen zu verstärken.

Insbesondere die Anforderungen an das Benutzerberechtigungs- und an das Informationsrisikomanagement stellen dabei für die KVGen Herausforderungen, bedingt durch die bisher eher weit auslegbaren Angaben im KAGB bzw. KAMaRisk, dar. Hierzu zählt auch die Benennung eines Informationssicherheitsbeauftragten, welcher die Verantwortung und die Wahrnehmung aller Belange der Informationssicherheit zur Aufgabe hat.

Erwartungshaltung der Aufsicht

Die Erwartungshaltung der BaFin an die KVGen ist, dass diese im ersten Schritt eine GAP-Analyse durchführen und einen Projektzeitplan entwicklen. Eine entsprechende Berichterstattung wird somit bereits von den jeweiligen Abschlussprüfern für die Prüfung der nach September 2019 endenden Geschäftsjahre erfolgen. Zu erwarten ist, dass die BaFin den Herausforderungen der erstmaligen Anwendung der KAIT, vergleichbar zur erstmaligen Anwendung der BAIT für Banken, Rechnung tragen wird. Sie wird sich (in der Übergangsphase mit Augenmaß) mit der inhaltlich angemessenen Umsetzung der Anforderungen auseinandersetzen. Darüber hinaus beabsichtigt die BaFin die Einrichtung einer gesonderten Implementierungsgruppe, die die einzelnen KVGen einzeln anschreiben und um einen Bericht zum Umsetzungsprozess bitten soll. Mit ersten Sonderprüfungen bei KVGen durch das neue Referat IT wird frühestens in der zweiten Jahreshälfte 2020 zu rechnen sein.

Wie kann Deloitte unterstützen?

Durch ein auf Sie abgestimmtes Team von Aufsichtsrechtsexperten und IT-Spezialisten begleiten wir Sie von der Identifizierung möglicher Lücken bis zur Erfüllung der KAIT-Compliance, u.a. durch:

  • Einschätzung des derzeitigen Erfüllungsgrads und Erfüllungsaufwands der KAIT-Compliance
  • Benchmarking-Analysen
  • Dokumentatorische, prozessuale und technische Umsetzung der Anforderungen
  • Health Check für Jahresabschluss-, Revisions- und BaFin Sonderprüfungen
  • Durchführung von Workshops und Coaching Ihrer Mitarbeiter

Ihre Ansprechpartner

Christian Haas
Partner, Risk Advisory
chaas@deloitte.de

René Rumpelt
Partner, FSI Audit & Assurance
rrumpelt@deloitte.de

Philipp Herrmann
Senior Manager, Risk Advisory
pherrmann@deloitte.de

Nico Hass
Senior Manager, Risk Advisory
nihass@deloitte.de

Michael Buchner
Manager, FSI Audit & Assurance
mbuchner@deloitte.de