Das Fachmagazin für institutionelle Investoren

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:

Artikel Filter

Erweiterte Suche

Steuer & Recht

3/2020 | Steuer & Recht
twitterlinkedInXING

Weg ohne Ende

Die kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) zwingen Fondsgesellschaften zu einer weiteren Professionalisierung ihrer IT-Systeme – ein Ende dieses Prozesses ist nicht in Sicht.

1601382017_digitalisierung.jpg

Auch im Finanzsektor sind IT-Organisation und -Sicherheit ein zunehmend wichtiger werdendes Thema. Die Fondsgesellschaften haben sich auf den Weg gemacht, die „Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT)“ umzusetzen. Das Grobgerüst steht, aber abgeschlossen ist die Umsetzung noch nicht.

© Lammert Legal Consulting, lassedesignen | stock.

Als beim Überschwappen der Corona-Infektionen nach Europa mit einem Schlag ein Großteil der Mitarbeiter von Kapitalverwaltungsgesellschaften (KVGen) vom Büro ins Homeoffice übersiedelte, offenbarte sich, wie es um die IT-Infrastruktur der Fondshäuser bestellt war. Erfreulich: Alles in allem lief es nach einer kurzen Schreck- und Anpassungsperiode gut: Die Fonds konnten ­gemanagt werden, Wertpapierkäufe und -verkäufe fanden statt, und auch der Kauf und Verkauf der ­Anteilsscheine klappte weitgehend reibungslos.

Dass es so kurz nach Einführung der „Anforderungen an die IT von Kapitalverwaltungsgesellschaften“ (KAIT) zu einem derartigen Lackmustest kommen würde, war überraschend, zeigt aber, wie sinnvoll dieses Reglement ist. Die BaFin veröffentlichte das KAIT-Rundschreiben erst am 1. Oktober 2019, nachdem sie es im April 2019 zur Konsultation gegeben hatte. Mit den KAIT erweiterte die Behörde ihren Anforderungskatalog an die IT-Landschaft im Finanzsektor, nachdem zuvor ­Banken (BAIT-Rundschreiben 10/2017) und Versicherungen (VAIT-Rundschreiben 10/2018) hinsichtlich ihrer IT-­Organisation regu­liert wurden. Die KAIT traten am Tag ihrer Veröffentlichung in Kraft und gelten seitdem für alle Kapitalverwaltungsgesellschaften mit satzungsmäßigem Sitz in Deutschland, die über eine ­Erlaubnis der ­BaFin zum Geschäftsbetrieb verfügen.

„Wir konnten nach dem Corona-Lockdown tatsächlich von heute auf morgen ­alles remote abwickeln. Auch unsere Vorstandssitzungen haben wir digital durchgeführt. Im Büro hatten wir zu der Zeit nur eine minimale Präsenz, eigentlich nur um die physische Post zu verteilen“, erzählt Bernd Lönner, der im Vorstand der Real I.S. unter anderem für Risikomanagement sowie IT und Informationssicherheit zuständig ist. Er gibt aber auch zu: „Eine Änderung der gesamten IT-Systemlandschaft nimmt natürlich Ressourcen vom Tagesgeschäft weg. Womöglich ist ein gewisser regulatorischer Druck dazu nötig.“ Lönner kam dabei das Geschäftsmodell der Real I.S. zugute: „Als Immobilien-KVG haben wir keinen Zahlungsverkehr für Dritte und keinen Handel, also keine zeitkritischen Prozesse.“ Im Vorfeld hatte die Real I.S. viel in ihre IT-Infrastruktur und Hardware investiert, angestoßen durch die KAIT. Hilfreich dabei dürfte ­gewesen sein, dass die Muttergesellschaft der Real I.S., die Bayern LB, bereits zwei Jahre zuvor die BAIT umzusetzen hatte. „Im Rahmen der Gruppensteuerung wurden ­damals schon bestimmte Standards eingerichtet und einheitliche Datenformate gefordert. Ich nehme an, dass Fondsgesellschaften, die Banken- oder Versicherungstöchter sind, bei der KAIT-Umsetzung generell weiter sind, weil der jeweilige Mutterkonzern die IT-Anforderungen bereits in Angriff genommen und sie zu einem Konzernthema gemacht hat“, vermutet Lönner.

Prozess ist angestoßen

Die Anforderungen an die IT dürften wohl eher als Anstoß eines Prozesses zu verstehen sein, denn wirklich fertig ist man mit einer IT-Strategie nie. Kaum hat man ein Thema abgearbeitet, kommt eine neue Technologie auf oder Hacker finden neue Lücken, die dann zu berücksichtigen sind. Auch bei den Banken und den Versicherungen gab es längere Zeit nach Veröffentlichung der sektorspezifischen IT-Anforderungen zahlreichen Feststellungen bei aufsichtsrechtlichen Prüfungen, was ein Hinweis darauf ist, dass auch dort die Prozesse zwar angestoßen, aber nicht von heute auf morgen zu Ende gebracht wurden.

Vierteljährliche Berichterstattung

Neben den während der Coronakrise unfreiwillig getesteten Notfallmaßnahmen enthält die KAIT verschiedene Bereiche des operativen IT-Managements, der IT-Steuerung mit Regelungen zur IT-Aufbau- und IT-Ablauforganisation sowie zur IT-Governance. Damit konkretisiert die KAIT unter anderem die in den Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) enthaltenen Anforderungen an die IT. „Da immer mehr Kapitalverwaltungsgesellschaften IT-Dienstleistungen von Dritten in Anspruch nehmen, wird auch der Umgang mit Auslagerungen von IT-Aktivitäten und IT-Prozessen in der KAIT geregelt“, erklärt Rechtsanwältin Katja Lammert von Lammert Legal Consulting in München. Hier seien dann auch die Anforderungen an den Datenschutz, das Bankgeheimnis und die DSGVO eins zu eins an die Anbieter weiterzugeben und natürlich die Anforderungen der BaFin an die wesentlichen Auslagerungen zu beachten.

Auslagerungen

Aus Sicht des deutschen Fondsverbandes BVI lässt das KAIT-Rundschreiben einige Praxisfragen zu Auslagerungen unbeantwortet. „Deshalb tauschen wir uns seit Monaten mit der BaFin zu einzelnen Punkten aus, um klarzustellen, welche Rechtsfolgen für IT-Auslagerungen von Kapitalverwaltungsgesellschaften gelten sollen und wie eine IT-Auslagerung von einem Fremdbezug von IT-Dienstleis­­tungen abzugrenzen ist“, sagt ein BVI-Sprecher. Zum Beispiel teile die BaFin die Auffassung des BVI, dass bei der Nutzung der Datenbanken Beck-online oder Juris keine Auslagerung vorliegt, sofern sich die Fondsgesellschaft der Datenbank nur als Informationsquelle gegen ein geringes, marktübliches Nutzungsentgelt bedient und die Entscheidung über einen etwaigen zu prüfenden Fall in der Rechtsabteilung der Fondsgesellschaft verbleibt.

Weil die Prozesse im Finanzsektor immer mehr auf IT-Systemen basieren, hat die ­Geschäftsleitung einer KVG „eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen“, schreibt Deloitte in einem ­Paper zur KAIT, und weiter: „Die in der ­IT-Strategie niedergelegten Ziele sind so zu formulieren, dass eine sinnvolle Über­prüfung der Zielerreichung möglich ist.“ Außer­dem müssen für die IT-Risiken angemessene Überwachungs- und Steuerungsprozesse eingerichtet werden. Dazu sind die IT-Risiken in den generellen Prozess des operationellen Risk Managements zu überführen, und es muss eine vierteljährliche Berichterstattung dazu eingeführt werden.

Einheitliche IT-Strategie

Nicht nur für Kapitalverwaltungsgesellschaften, aber eben auch für sie, ist es sinnvoll, von funktionierenden, aber aufwendigen Insellösungen wegzukommen und eine einheitliche IT-Strategie zu entwickeln, die die verschiedene Systeme integriert und die Vorgänge aufeinander abstimmt. Auch das ist eine Forderung der KAIT. „Unser Ziel muss sein, die Prozesse durchgängig digital zu gestalten und zu automatisieren. Wir brauchen digitale Resilienz, dass alle Prozesse stabil laufen und aufeinander abgestimmt sind“, meint Lönner. „Dazu muss schnell der Weg zu einheitlichen Standards, weg von Individuallösungen, beschritten werden, die es aber noch nicht gibt.“ Er nennt ein Beispiel: „Die Daten, die wir über die einzelnen Objekte erhalten, kommen von den Property Managern in ganz unterschiedlichen Formaten. Damit Objekt A aber vergleichbar ist mit Objekt B, brauchen wir eine einheitliche Datengrundlage.“ Sein Ziel wäre ein einheitliches Data Warehouse. „So weit sind wir aber noch nicht“, bedauert er. „Dafür müssen wir erst noch die Grundlage schaffen. Wir müssen uns da realistisch vorarbeiten; das wird ein iterativer Prozess.“

Eine Strategie aus einem Guss zu ent­wickeln ist allerdings ein umfangreiches Projekt. „Es wird einer KVG schwerfallen, die Umsetzung der KAIT als unmittelbaren Vorteil anzusehen, insbesondere weil nun sehr viele Prozesse detailliert dokumentiert werden müssen“, meint Lammert. „Natürlich stellt die KAIT erst mal einen Kostenfaktor dar; auf der anderen Seite werden mit ihr aber auch Risiken reduziert, insbesondere auf Seiten der Informationssicherheit.“ Sie ergänzt: „Die Technologie kann heut­zutage mehr, als im Regelfall von den KVGen genutzt wird.“

Rezertifizierung

Im Gesamtpaket KAIT hält Lammert die Rezertifizierung und das Risikomanagement in Bezug auf die IT-Struktur für die beiden aufwendigsten Punkte, die aktuell zu lösen sind. Dabei bezieht sich die Rezertifizierung auf das Benutzerberechtigungsmanagement.
Hierzu müssen Berechtigungskonzepte für die Mitarbeiter für sämtliche genutzten IT-Systeme erstellt und deren Einhaltung überprüfbar gemacht werden. Insbesondere sind auch nicht personalisierte Berechtigungen zweifelsfrei einer handelnden Person zuzuordnen, nach Möglichkeit automatisiert.

Die KAIT fordert außerdem, dass die KGV einmal jährlich kontrolliert, dass die Mitarbeiter lediglich die Rechte haben, die sie benötigen. „Dabei muss sichergestellt werden, dass sich kein Mitarbeiter selbst kontrolliert.

Dementsprechend müssen die Zugriffsmöglichkeiten aus dem IT-System ausgelesen und regelmäßig auf ihre Plau­sibilität hin kontrolliert werden“, erklärt Lammert. Wie umfangreich das bei einzelnen Mitarbeitern sein kann, macht eine Zahl deutlich, die sie erwähnt: „Ein Händler kann gut und gern 100 und mehr Einzelrechte haben.“

Etablierung eines ISB

Die KAIT fordert auch die Etablierung ­eines Informationssicherheitsbeauftragten (ISB) im eigenen Haus, was für die großen Gesellschaften unproblematisch, für kleinere aber nicht einfach ist. Für sie gibt es daher eine Ausnahmeregelung: KVGen mit geringer Mitarbeiterzahl und ohne wesentlichen eigenen IT-Betrieb können die Funktion des ISB auslagern. Dennoch muss jede Gesellschaft ihre Informationssicherheitsvorfälle bezüglich der Auswirkungen auf die Informationssicherheit analysieren und angemessene Nachsorgemaßnahmen veranlassen.
„Wir sind mit der Umsetzung der KAIT schon weit fortgeschritten. Wir haben unsere Ziele und die Konzeption definiert“, ­erklärt Lönner. „Dabei haben wir u. a. die Funktion des Informationssicherheitsbeauftragten (ISB) an ein externes Unternehmen ausgelagert. Der ist bei uns in die Umsetzung der KAIT direkt mit eingebunden.“

„Im Prinzip geht es bei der Digitalisierung in KVGen um das Thema Effizienz, insbesondere auch der Kosteneffizienz“, sagt ein BVI-Sprecher. Schließlich ist durch den intensiveren Wettbewerb im Asset Management und dank des Niedrigzinsumfelds der Kostendruck enorm gestiegen.

Von nahtlosen Prozessen von der Wert­papierorder bis hin zur Ausgabe von Anteilsscheinen und zum Reporting sind die meisten Gesellschaften aber noch ein gutes Stück entfernt. Optimal wäre es, die Pro­zesse so zu digitalisieren, dass ohne großen Mehraufwand gleich ein individuelles Repor­ting herauskommt. „Im institutionellen Bereich braucht eine KVG mit ihrem ­digitalen Reporting gar nicht mehr zu werben; das wird als selbstverständlich vorausgesetzt“, meint Lammert, aber es sei eben oft umständlich.

„Altlasten“

Bei Fondsgesellschaften wird heute noch viel mit Excel-Listen gearbeitet, zuweilen sollen auch noch Fax-Schnittstellen in Betrieb sein. „Faxe habe ich in den letzten Jahren zum Glück nicht mehr gesehen“, lacht Lammert, „da greift man mittlerweile eher auf SWIFT zurück.“ Aber nicht alles geht über SWIFT. Daher arbeiten die meisten Fondsgesellschaften noch mit zahlreichen Excel-Schnittstellen. „Excel-Anwendungen gelten laut KAIT als individuelle Daten­verarbeitung (IDV) und müssen genauso wie andere Softwaresysteme dokumentiert werden“, sagt Lammert und ergänzt: „Das ist auch sinnvoll: Wenn ein Mitarbeiter ­etwas auf Excel-Basis macht, und er fällt aus irgendeinem Grund plötzlich aus, hätte die KVG ein Problem, wenn niemand anders die Excel-Anwendung nutzen könnte.“ Sie verweist darauf, dass am Ende die Wirtschaftsprüfer das gesamte interne Kontrollsystem (IKS) prüfen, wozu auch die Umsetzung der KAIT gehört. Letztlich gehe es aber nicht nur um das Testat. Um effizienter zu werden, habe die Fondsbranche ein ­hohes Interesse an einer weiteren Digitalisierung. „Im Vergleich zu Banken haben KVGen eine vergleichsweise einfachere Ausgangsposition“, findet Lammert. Banken hätten durch die zunehmende Regulierung noch mehr Themen auf dem Tisch und mit Kredit-, Handels- und Privatkunden­geschäft auch mehr unterschiedliche IT-­Bereiche und -Systeme, die miteinander zu verbinden und zu digitalisieren sind. „Insofern kann eine KVG leichter und schneller digitalisieren, als es eine Universalbank kann“, meint Lammert.  

 Anke Dembowski


Auf dem Weg zur Digitalisierung

Regulatorische und praktische Hürden

D ass die Asset-Management-Branche in Sachen Digitalisierung noch einiges an Wegstrecke vor sich hat, sieht auch der Branchenverband BVI. Schließlich geht es darum, neue technologische Möglichkeiten in die IT-Struktur der Kapitalverwaltungsgesellschaften einzubeziehen. „Die drei Technologien DLT/Blockchain, Big Data / Künstliche Intelligenz und Cloud Computing werden zu ­einem Umbruch in der Asset-Management-Branche führen. Das Thema Digitalisierung ist für die Branche daher von hoher Relevanz“, steht im BVI Jahrbuch 2019. Dabei sei die Blockchain die Schlüsseltechnologie der kommenden Jahre. Rechtsanwältin Lammert von Lammert Legal Consulting stimmt dem zu, meint aber: „Dass Token als Wertpapiere anerkannt werden, schreitet voran. Das ist aber eher eine rechtliche als eine IT-­Frage“. Fest steht: Auch Token sind in die IT-Strategien von KVGen und der Verwahrstellen aufzunehmen.


Anhang:

twitterlinkedInXING
 Schliessen

Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu. Mehr erfahren