KAIT: Aufsichtsrecht für Spezialnutzer – auch interessant für den klassischen Mittelständler?

Erstellt von Christian Rüdiger | |  BTadvice 2019-Q2

KAIT: Was ist das überhaupt?

In der Langform heißt dieses Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) „Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)“. Dies ist eine Musterregelung für die 137 in Deutschland existierenden externen Kapitalverwaltungsgesellschaften. Diese kümmern sich um Fonds, die sie verwalten. Mit diesem Regelungsentwurf sollen bestimmte Minimumstandards für die IT aus Sicht der BaFin dargestellt werden.

KAIT: Was muss dargestellt werden?

Angefordert werden Darstellungen zu folgenden Themen:

  • IT-Strategie
     
  • IT-Governance
     
  • Informationsrisikomanagement
     
  • Informationssicherheitsmanagement
     
  • Benutzerberechtigungsmanagement
     
  • IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
     
  • IT-Betrieb (inkl. Datensicherung)
     
  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Das sind aus unserer Sicht Themen, mit denen sich auch jeder Mittelständler auseinandersetzen sollte; allerdings sicher nicht so umfangreich dokumentiert wie aufsichtsrechtlich erforderlich. Die KAIT bieten dabei eine hervorragende, gut verständliche Hilfestellung.

KAIT: die Inhalte – im Überblick

IT-Strategie: Im Kern geht es um die Entscheidung über die strategische Entwicklung des IT-Aufbaus, der IT-Ablauf-Organisation oder um Überlegungen zur Auslagerung von IT-Dienstleistungen. Wer soll Zuständigkeiten haben? Wie soll die IT-Architektur in der strategischen Ausrichtung aussehen?

IT-Governance: Dies ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der entsprechenden Prozesse. Wer also soll was machen? Und wer sollte besser was nicht machen (unvereinbare Tätigkeiten)? Und wie viele Personen werden benötigt? Mit welchem Ausbildungsstand? Welche Sachausstattung gibt es?

Informationsrisikomanagement: Haben Sie ein angemessenes System von Überwachungs- und Steuerungsmechanismen eingerichtet? Und wer kommuniziert da eigentlich an wen was? Hat sich Ihr Risikomanagement bei den IT-Systemen und -Prozessen an den Geschäfts- und Serviceprozessen Ihrer Unternehmung orientiert oder führt das IT-Department doch ein gewisses „Eigenleben“? Risiken sind hierbei u. a. die Nichterfüllung von Aufgaben, Nichteinhaltung von Kompetenzen, Verantwortlichkeiten, Kontrollen sowie Kommunikationswegen.
Informationssicherheitsmanagement: Hier werden Vorgaben zur Informationssicherheit der Prozesse gemacht, ferner wird die Umsetzung gesteuert. Dies ist als fortlaufender Prozess zu verstehen, in dem Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung dargestellt werden sollen; schließlich soll es um das Management gehen und nicht nur um die Risiken als solche (dazu weiter unten). Sie sollten sich fragen, ob es hier eines Managers bedarf.

Benutzerberechtigungsmanagement: Ein Standardthema, dass inzwischen wohl jedes Unternehmen beachtet. Benutzerberechtigungen sollten so ausgestaltet sein (und auch genutzt werden), dass die organisatorischen und fachlichen Aufgaben erfüllt werden können, ohne dass dabei jeder alles kann. Aber sind Ihre Änderungen im Berechtigungskonzept auch jederzeit nachvollziehbar, kontrollierbar und nur von einem zuvor genau bestimmten Personenkreis durchführbar? Und wer überwacht wann und wie die tatsächliche Nutzung?

IT-Projekte, Anwendungsentwicklung: Dies betrifft Sie nur, wenn Sie diverse IT-Systeme haben, die meist auch noch ineinandergreifen. Haben Sie wirklich immer drauf geachtet, dass die neuen Systeme vor dem eigentlichen Betrieb ausreichend getestet wurden? Und zwar von den fachlich und technisch zuständigen Mitarbeitern? Wie erfolgt das Management neuer IT-Projekte auch im Zusammenhang mit der bestehenden IT-Aufbau- und IT-Ablauforganisation und den bestehenden Prozessen? Und wie verändern sich eigentlich die Arbeitsprozesse für die Anwender durch den neuen IT-Bestandteil? Gerade Letzteres wird häufig gerne vergessen oder nicht ausgiebig getestet.

IT-Betrieb (inkl. Datensicherung): Grob gesagt ist dies die Frage nach der Erfüllung der gestellten Anforderungen durch Ihre IT. Es geht darum, Ihr Portfolio aus IT-Systemen angemessen zu steuern. Ist nicht z. B. eine Komponente in Ihren Systemen inzwischen überflüssig? Die Datensicherung sollte dabei dazu führen, dass Ihr Betrieb auch nach einem echten IT-Ausfall möglichst schnell wieder funktionieren kann.

Auslagerung: Viele Unternehmen vergeben Ihre IT in „fremde Hände“. Aber wie überwachen Sie eigentlich Ihren Dienstleister? Erfüllt dieser die oben genannten Punkte? Und haben Sie sich schon einmal überlegt, was Sie machen, wenn Ihr Dienstleister z. B. insolvent ist? Haben Sie adhoc eine passende Alternative?

Fazit: Viele der in diesem Rundschreiben dargestellten Überlegungen betreffen grundsätzlich jede Unternehmung. Nehmen Sie sich die Zeit und lesen dieses eigentlich für Kapitalverwaltungsgesellschaften gedachte Rundschreiben und benutzen Sie es wie eine Checkliste für Ihre Unternehmung.
 

Zurück