Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
Mit dem tomoro „Health-Check IT-Compliance“ prüfungssicher unterwegs
Eine weitere Präzisierung der regulatorischen Anforderungen an die IT ist auf den Weg gebracht: auf die BAIT und VAIT folgen nun für die Kapitalverwaltungsgesellschaften die KAIT. Die Anforderungen entsprechen dabei weitestgehend denen der BAIT und VAIT, sind nur in Teilen bereits detaillierter und präziser formuliert.
Mit dem Rundschreiben 11/2019 in der Fassung vom 01.10.2019 sind die KAIT jetzt für alle Kapitalverwaltungsgesellschaften verbindlich. Das Rundschreiben bestätigt die Regelungen des bereits bekannten Konsultationspapiers mit nur minimalen Anpassungen:
- Eine Konkretisierung gegenüber dem Konsultationspapier erfolgte unter TZ 7 betreffend die Verantwortung der Geschäftsleitung bezüglich der Schnittstellen zu externen Systemen (z.B. von Verwahrstellen, Fondsadministrator, externen Verwaltungsgesellschaften oder wichtigen Auslagerungsunternehmen)
- Nach TZ 24 sind nunmehr inhaltliche Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung ausreichend
Somit stehen jetzt nach den Banken und Versicherungen auch die Kapitalverwaltungsgesellschaften vor der Aufgabe der Umsetzung dieser Anforderungen. Dabei haben diese jedoch den Vorteil, dass sie aus den bisherigen Erfahrungen in der Umsetzung von BAIT und VAIT und aus den aufsichtsrechtlichen Prüfungen bei Banken und Versicherungen profitieren können.
tomoro hat in Referenzprojekten in Banken und Versicherungen ein Vorgehensmodell „Health Check IT-Compliance“ entwickelt.
Das Modell sieht vor, in einem ersten Schritt zu den jeweiligen Anforderungen der KAIT für die KVG ein individuelles Soll-Profil – unter Berücksichtigung der Größe und Komplexität des Unternehmens – zu definieren. Im zweiten Schritt erfolgt ein Soll-Ist-Abgleich. Im Rahmen dieser GAP-Analyse wird der entsprechende Umsetzungsstand dokumentiert sowie ein eventueller Handlungsbedarf in den einzelnen Themenfeldern aufgezeigt. Dieser wird im dritten Schritt in einen Maßnahmenbehandlungsplan, mit Prioritäten und Terminen, überführt. Die Abarbeitung und Umsetzung der Maßnahmen erfolgt somit risikoorientiert. Ein Risikoinventar gibt dem Management jederzeit Auskunft über die Handlungsfelder, den aktuellen Stand und die mit den noch offenen Punkten verbundenen Risiken.
Mit diesem Modell können die KVG´en gegenüber den Prüfern bereits in 2019 ein klar strukturiertes Vorgehensmodell aufzeigen und sind gleichzeitig auf eine mögliche Sonderprüfung durch die Aufsicht vorbereitet.
