close
Share with your friends

KAIT: Konkrete Vorgaben zu IT-Dienstleistungen bei Kapitalverwaltungsgesellschaften

Kapitalverwaltungsaufsichtliche Anforderungen an die IT

Bankenaufsicht strebt weiter Harmonisierung der IT in der Finanzbranche an.

Ansprechpartner

Verwandte Inhalte

Hochhaus Glassfassade

Neues von der BaFin zum Thema IT-Auslagerungen in der Finanzbranche: Nachdem bereits mit den BAIT die MaRisk für Banken und mit den VAIT die MaGO für Versicherer konkretisiert wurden, folgte nun der Konsultationsentwurf für Kapitalverwaltungsgesellschaften: „Kapitalverwaltungsaufsichtliche Anforderungen an die IT“  - kurz: KAIT.

Der Hintergrund ist klar. Da immer mehr Kapitalverwaltungsgesellschaften IT-Dienstleistungen von Dritten in Anspruch nehmen, strebt die Aufsicht auch hier ein angemessenes Risikomanagement im Umgang mit dem Fremdbezug von IT-Aktivitäten und IT-Prozessen an. Konkretisiert werden somit die Anforderungen an die IT, die in den „Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften“ (KAMaRisk) enthalten sind.
 

Auslagerung von IT-Dienstleistungen an Dritte: Auch Software ist betroffen

Der Umgang mit Auslagerungen und sonstigem Fremdbezug von IT-Dienstleistungen (siehe Modul 8 des Konsultationsentwurfs) der KAIT basieren größtenteils auf den Regelungen, welche bereits zu den BAIT und den VAIT veröffentlicht wurden. Ein wesentlicher Aspekt  - der „Umgang mit Unterstützungsleistungen von Software“  - findet sich nun in den KAIT wieder. Im Vergleich: Für Banken sind diese Regelungen in der MaRisk und nicht in den BAIT zu finden. Da es sich jedoch bei Software um einen IT-Bezug handelt, ist die Aufnahme dieser Anforderungen in den KAIT nachvollziehbar. An diesem Beispiel erkennt man die stetige Weiterentwicklung und Angleichung der Regulatorik durch die Aufsicht.

Die Formulierungen wurden zudem leicht überarbeitet und orientieren sich nun stärker an der Praxis. So ist die Wartung von Software nicht zwingend als Unterstützungsleistung und damit womöglich als Auslagerung zu klassifizieren, wenn es sich um eine Standardsoftware ohne Anpassung an die Bedürfnisse der Kapitalverwaltungsgesellschaft handelt. 
 

Zusätzliche Anforderungen auch an den sonstigen Fremdbezug von IT-Dienstleistungen

Generell ist es nicht ohne Weiteres möglich, praxisgerechte Kriterien für eine Abgrenzung zwischen Auslagerung und sonstigem Fremdbezug zu definieren. Es ist daher zu empfehlen, dass Kapitalverwaltungsgesellschaften eine Abgrenzung zwischen Auslagerung und sonstigem Fremdbezug vornehmen  - unter Berücksichtigung der Bedeutung des Auftrags und der dadurch entstehenden Risiken für die Portfolioverwaltung, das Risikomanagement und die sonstigen geschäftskritischen Prozesse. Dies sollte situationsabhängig kontinuierlich überprüft werden. 

Dieses Konzept ist nicht neu  - jedoch gibt es nun erstmalig Anforderungen an den sonstigen Fremdbezug von IT-Dienstleistungen. Diese müssen zukünftig anhand einer Risikobewertung klassifiziert werden. Auf dieser Basis sind Maßnahmen abzuleiten und umzusetzen. Ziel ist wie immer eine Bewertung und Minimierung des Risikos. Zusätzlich beinhalten die Anforderungen weitergehende Themen: etwa die Erstellung von Exit-Plänen, die Einbindung der relevanten Querschnittsfunktionen wie Informationssicherheit, Notfallmanagement und Risikomanagement oder aber den Aufbau einer zentralen Vertragsübersicht bzw. -datenbank.
 

Aufwand in der Umsetzung zu erwarten

Mit den KAIT erhöht die Aufsicht die Anforderungen an die IT in der Finanzbranche und möchte damit das IT-Risikobewusstsein auch in Kapitalverwaltungsgesellschaften steigern.

Bei den Kapitalverwaltungsgesellschaften werden die Auswirkungen der neuen Vorgaben deutlich zu spüren sein. Neben einem erhöhten Investitionsbedürfnis  - vor allem für technische Compliance-Lösungen  - wird ein größerer Aufwand zur Umsetzung der neuen Regularien erwartet. Nicht nur in der Implementierung der Anforderungen an IT-Auslagerungen und sonstigen Fremdbezug von IT-Dienstleistungen, sondern zusätzlich resultierend aus allen Themen der KAIT.

Wenn die KAIT unverändert zum Konsultationsentwurf veröffentlicht wird, könnte die Umsetzung für die Kapitalverwaltungsgesellschaften sehr aufwändig werden. Das zeigt ein Vergleich mit der Bankenbranche: Dort mussten bei der Einführung der BAIT zahlreiche Banken große BAIT-Compliance-Projekte aufsetzen und durchführen, um die neuen Vorgaben in der Praxis umzusetzen. Die KAIT könnten einen ähnlichen Effekt für Kapitalverwaltungsgesellschaften haben. Wie groß der Aufwand tatsächlich ausfallen wird, bleibt abzuwarten.
 

Haben Sie Fragen zum Thema Auslagerung in der Finanzbranche? Dann kontaktieren Sie uns gerne!

So kontaktieren Sie uns

 

Möchten Sie mit KPMG in Kontakt treten?

 

loading image Angebotsanfrage (RFP)