Bernd Lönner, Stellvertretender Vorsitzender des Vorstandes der Real I.S., sprach mit Erika Neufeld über die kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT).

Herr Lönner, im Oktober 2019 hat die BaFin ihre kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) veröffentlicht. KVGen bekamen dadurch strengere Vorgaben zu den aufsichtsrechtlichen Anforderungen, die ihre IT-Systeme und ihre IT-Infrastruktur erfüllen müssen. Welche Auswirkungen hatte dies konkret auf die Praxis?

Der Corona-Lockdown im Frühjahr war quasi der unfreiwillige Lackmustest für unsere IT-Strukturen, ein halbes Jahr nach Veröffentlichung der KAIT. Das ist uns gelungen: Wir konnten von heute auf morgen alles remote abwickeln. Dafür waren selbstverständlich nicht allein die KAIT verantwortlich, wir hatten ja wie die meisten Marktteilnehmer bereits früher begonnen, unsere IT sukzessive zu modernisieren und zu standardisieren. Gleichwohl haben die aufsichtlichen Vorgaben einen positiven Beitrag geleistet, unter anderem indem sie für mehr Transparenz und Klarheit gesorgt haben.

Freilich nehmen tiefgreifende Änderungen in der IT-Systemlandschaft zunächst einmal Ressourcen vom Tagesgeschäft weg. Langfristig sollte sich der Aufwand der Implementierung allerdings lohnen, wenn dauerhafte Effizienzvorteile ausgespielt werden. Nirgendwo ist das Potenzial von Skaleneffekten größer als im Bereich der IT.

Hilfreich war für uns, dass unsere Muttergesellschaft, die BayernLB, bereits zuvor die analog für Banken gültigen BAIT umzusetzen hatte. Im Rahmen der Gruppensteuerung wurden damals bereits Standards eingerichtet und einheitliche Datenformate etabliert. Daher dürften Banken- und Versicherungstöchter grundsätzlich bei der KAIT-Umsetzung weiter vorangeschritten sein, da der jeweilige Mutterkonzern so manche IT-Anforderungen bereits in Angriff genommen und zu einem Konzernthema gemacht hat.

Einige Dinge mussten wir dennoch umstellen oder neu einführen. Beispiele sind eine nachprüfbare regelmäßige Berichterstattung zu IT-Systemen und -Risiken sowie die weitgehende Umstellung von Insellösungen auf konsistente, stabile Standardprozesse. Letzteres forcieren wir auch unabhängig von KAIT schon seit Jahren. Unser Ziel ist es ja nicht nur, aufsichtsrechtliche Vorgaben zu erfüllen. Wir streben auch aus eigenen Antrieb nach mehr Effizienz und digitaler Resilienz. Das geht jedoch nicht von einem Tag auf den anderen.

Die KAIT sollte mehr Rechtssicherheit schaffen. Wie ist Ihre Einschätzung, sind die Anforderungen geeignet, das Ziel zu erreichen?

In Zusammenarbeit mit externen IT-Anbietern werden Standards geschaffen. Insgesamt werden zudem eine umfangreichere interne Dokumentation und Überwachung eingefordert. Diese Aspekte sollten zumindest die Transparenz und auch das Problembewusstsein für IT-Sicherheit bei den Unternehmen verbessern. Und das gilt auch für die externe Prüfung.

Der Arbeitsaufwand der Wirtschaftsprüfer wird infolge der Regulierung höher, da jährlich die Umsetzung der KAIT geprüft wird. Darüber hinaus ergeben sich für die Kapitalverwaltungsgesellschaften selbst Lernschleifen, die aus dem Betrieb und der täglichen Praxis im Hinblick auf die Detailregelungen (zum Beispiel Service Level Agreements) im Verhältnis zu den Anbietern von IT-Dienstleistungen resultieren.

Wirken sich die strengeren Vorgaben auch auf institutionelle Investoren aus? Bietet die KAIT diesen einen Mehrwert?

Diese Regulierung ist ein weiteres Mosaiksteinchen für mehr Stabilität des Finanzsystems. Sichere und zuverlässige IT-Systeme sind zudem ein Effizienzgarant und ermöglichen ein schnelleres Reporting und bessere Markteinschätzungen, wovon letztlich auch die institutionellen Investoren profitieren. Sie können sich jetzt noch stärker darauf verlassen, dass die KVGen ihrer Verantwortung für IT-Stabilität und -Sicherheit gerecht werden und den Aufsichtsbehörden regelmäßig dazu Rede und Antwort stehen müssen.

Wie sind Ihre Erwartungen für 2021? Wird der zusätzliche Aufwand weiter steigen?

Das größte Hemmnis bei der Umsetzung der KAIT ist die Fragmentierung der IT-Landschaft bei vielen Unternehmen. Es gibt eine Vielzahl an individuellen, untereinander nicht kompatiblen Lösungen. Wenn der Anspruch besteht, die KAIT auch technologisch hochwertig umzusetzen, so kann sie als Katalysator für den technologischen Fortschritt dienen. So ist die Excel-Tabelle im Rahmen der individuellen Datenverarbeitung am Ende und muss durch standardisierte Schnittstellen ersetzt werden.

Unser Ziel muss aber sein, die Prozesse durchgängig digital zu gestalten und zu automatisieren. Wir brauchen digitale Resilienz, dass alle Prozesse stabil laufen und aufeinander abgestimmt sind. Dazu muss schnell der Weg zu einheitlichen Standards, weg von Individuallösungen, beschritten werden. Um vor allem die Datenqualität zu erhöhen („Single Point of Truth“) und Daten systemübergreifend analysieren zu können, ist ein einheitliches Data Warehouse das Ziel. Dafür müssen wir aber noch gemeinsam die Grundlagen schaffen – das wird ein iterativer Prozess.

Aktuelle Beiträge

Alles Wichtige für institutionelle Investoren - Kompetent und unabhängig - Jede Woche neu
NEWSLETTER KOSTENLOS ABONNIEREN »
Alles Wichtige für institutionelle Investoren - Kompetent und unabhängig - Jede Woche neu
NEWSLETTER KOSTENLOS ABONNIEREN »