KAIT kommt: IT-Regeln für Asset Manager ohne Umwege

KAIT kommt: IT-Regeln für Asset Manager ohne Umwege

Wer im Asset-Management Verantwortung trägt – in der Geschäftsleitung, in der IT, im Risikomanagement oder in der Compliance – spürt seit Jahren den gleichen Trend: Wertschöpfung entsteht nicht mehr nur am Portfolio, sondern ebenso in Daten, Prozessen und Systemen. Order-Erfassung, Handelsanbindung, Bewertungsmodelle, NAV-Berechnung, regulatorische Meldungen, Anleger-Reporting, Risiko- und Limitkontrolle – all das läuft auf einer verteilten, oft ausgelagerten IT. Genau hier setzt KAIT an, die kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Nach BAIT (für Banken) und VAIT (für Versicherer) schließt KAIT die Lücke im dritten großen Aufsichtsspektrum: Kapitalverwaltungsgesellschaften und ihre Investmentvermögen. Der Anspruch ist klar: ohne Umwege zu einem beherrschten, prüfbaren, resilienten IT-Betrieb – proportional zum Geschäftsmodell, aber konsequent in der Sache.

Warum KAIT – und warum jetzt?

Asset Manager sind längst datengetriebene Organisationen. Produktideen, Handelsstrategien und Vertriebsmodelle mögen den Marktauftritt bestimmen; die tatsächliche Lieferfähigkeit hängt an Order-Strecken, Marktdaten, Preisprozessen, Schnittstellen zur Verwahrstelle, Abwicklung, Meldewesen, Performance- und Risikoanalytik, regulatorischer Berichterstattung sowie – zunehmend – an ausgelagerten Software-as-a-Service-Komponenten. Jede Störung in dieser Kette schlägt unmittelbar auf NAV, Handel, Reporting, Anlegerkommunikation und aufsichtliche Pflichten durch. Vor diesem Hintergrund ist KAIT kein „IT-Rundschreiben“, sondern Betriebsanleitung für eine integrierte Steuerung der IT im KVG-Kosmos.

KAIT folgt der prinzipienorientierten Logik der „Geschwister“ BAIT und VAIT: Die Aufsicht schreibt Ziele und Mindeststandards vor, keine lückenlose Checkliste. Proportionalität ist ausdrücklich verankert – die Tiefe richtet sich nach Größe, Komplexität, Produktuniversum, Auslagerungsgrad und Risikoexponierung. Wer wenige, stark standardisierte Produkte mit hohem SaaS-Anteil steuert, braucht einen anderen Zuschnitt als eine Service-KVG mit dutzenden Spezialfonds, komplexen Derivatestrategien und internationalen Auslagerungsketten. Unverhandelbar bleibt: Verantwortung, Nachvollziehbarkeit und Wirksamkeitsnachweise.

Wer ist betroffen – und in welcher Rolle?

Adressaten sind Kapitalverwaltungsgesellschaften (OGAW- und AIF-KVGs), externe KVGs ebenso wie interne (soweit IT-Steuerungsverantwortung vorliegt), sowie Konstellationen, in denen wesentliche Teile ausgelagert sind (z. B. Portfolio-, Risiko-, Bewertungs-, Daten- oder IT-Betriebsleistungen). KAIT unterscheidet nicht nach Marketingetiketten, sondern nach Wesentlichkeit und Kritikalität: Was für Bewertung, Abwicklung, Verwahrung, Meldewesen und Anlegerrechte unerlässlich ist, fällt in den engen Steuerungsfokus. Das betrifft auch Verwahrstellen-Schnittstellen, Pricing-Agenten, Middle-Office-Dienstleister, Marktdaten- und Indexpublisher sowie Cloud-Provider und Rechenzentren.

Die gemeinsame Landkarte: Sieben Felder, ein Prozess

Wie BAIT/VAIT strukturiert KAIT die Erwartungshaltung entlang einer Prozesskette. Die Bezeichnungen variieren, die Logik bleibt durchgängig:

1. IT-Strategie und Governance
2. IKT-Risikomanagement
3. Informationssicherheitsmanagement (ISMS)
4. Identitäts- und Berechtigungsmanagement (IAM/PAM)
5. Entwicklung, Parametrisierung & Change
6. IT-Betrieb & Notfallmanagement
7. Auslagerungen & sonstiger Fremdbezug

Diese Kapitel sind keine Silos. KAIT verlangt Kohärenz: Was das Risikoregister sagt, muss zu Testberichten, Incident-Chronik, Lieferanten-Scorecards und Verträgen passen. Einmalige Dokumentation genügt nicht – gefordert ist gelebte Routine.

1) IT-Strategie & Governance: Verantwortung sichtbar machen

Eine tragfähige IT-Strategie benennt Zielarchitektur, Sourcing-Grundsätze (Eigenbetrieb, Outsourcing, Cloud), Standardisierungsgrad und Risikotoleranzen. Sie ist durch das Leitungsorgan gebilligt, adressatengerecht dokumentiert und messbar hinterlegt. KAIT erwartet Gremien mit klaren Mandaten (z. B. IT-Steuerkreis, Informationssicherheitsgremium, Auslagerungs-Board), Entscheidungswege mit Zyklen und Berichtsformaten, die Wirksamkeit statt Aktivität zeigen.

Praxis-Kernfragen:

• Welche Fähigkeiten sind strategisch (z. B. Bewertungslogik, Portfoliokonstruktion)?
• Wo ist Standardisierung geboten, wo Differenzierung sinnvoll?
• Welche RTO/RPO-Ziele gelten je Serviceklasse (Order, Bewertung, NAV, Meldungen)?
• Wie werden Architektur- und Sourcing-Entscheidungen begründet und revidiert?

2) IKT-Risikomanagement: Von der Inventur zur Entscheidung

Steuern kann nur, wer bestandsklar ist. Ausgangspunkt ist eine End-to-End-Inventarisierung: Geschäftsprozesse (Order-to-Settle, Bewertung, NAV, Meldungen), Anwendungen (Order-Management-Systeme, Compliance-Engines, Risiko-Tools), Schnittstellen (FIX, SWIFT, Custody-APIs), Marktdatenfeeds, Plattformen, Datenbestände (Stammdaten, Referenzdaten, Transaktionsdaten), Abhängigkeiten – inklusive externer Dienstleister und Sub-Dienstleister. Darauf folgen Schutzbedarfe (Vertraulichkeit, Integrität, Verfügbarkeit), eine Risikobewertung (Eintritt, Auswirkung, Kontrollen, Wirksamkeit) sowie Maßnahmenpläne mit Verantwortlichen, Fristen und Prioritäten.

Für Asset Manager ist besonders:

• Bewertungs- & Preisrisiken (falsche/fehlende Preise, Modelldefekte, Ausreißerbehandlung).
• Anlagerestriktionen (Fehlläufe in Compliance-Regeln, verspätete oder falsche Limitprüfungen).
• Meldepflichten (Verspätung/Fehler in AIFMD/OGAW-, EMIR-, MiFIR-, SFTR-Prozessen).
• Schnittstellenrisiken (Verwahrstelle, Broker, Administrator, Marktdaten).
• Datenqualitätsrisiken (Stammdateninkonsistenzen, Corporate-Actions-Fehler, Index-Rebasings).

KAIT erwartet laufende Pflege: Releases, neue Produkte, geänderte Outsourcing-Ketten ändern das Bild. Schwellenwerte, KRIs/KPIs und Eskalationswege sind Pflicht.

3) Informationssicherheitsmanagement: System statt Produkt

Sicherheit ist Managementaufgabe – mit unabhängiger Funktion (Informationssicherheitsbeauftragte/r), Rollen, Prozessen und Metriken. Der KAIT-Maßstab: Wirksamkeit.

Kernelemente:

• Regelwerk & Schulung: Schlanke, verbindliche Policies; zielgruppengerechte Sensibilisierung (Handel, Middle Office, IT, Data-Teams).
• Schwachstellen & Patch: Zyklen nach Kritikalität, Age-KPIs, Remediation-Nachweise.
• Logging & Monitoring: Use-Cases für kritische Szenarien (z. B. Preisquellenwechsel, unplausible NAV-Sprünge durch IT-Ereignisse, anomale Admin-Zugriffe).
• Incident-Management: Klassifikationsschema, Erst/Zwischen/Abschlussberichte, Fakten/Hypothesen-Trennung, Chain-of-Custody, Lessons Learned in Prozesse zurückführen.
• Krypto & Datenflüsse: Schutz für sensible Daten (Anleger, Transaktionen, Strategien), klare Datenfluss-Landkarten, Datenklassifizierung mit Schutzbedarf.
• Notfall & Wiederherstellung: Pläne, Übungen mit Erfolgskriterien (RTO/RPO), Integritätsnachweis (Checksummen, Transaktionskohärenz), Re-Tests.

Besonderheit im KVG-Kontext: Datenintegrität hat oft Vorrang vor reiner Verfügbarkeit. Ein schneller, aber falscher NAV ist gefährlicher als ein verspäteter, aber korrekter. KAIT erwartet, dass Qualitäts- und Plausibilitätskontrollen (z. B. Preisband-Checks, Outlier-Detektion, Zweitquellen-Vergleich, Delta-Analysen) technisch und organisatorisch verankert sind.

4) Identitäten & Berechtigungen: End-to-End und prüfbar

Rollenmodelle, Funktionstrennungen (z. B. Handel vs. Compliance/Limit), Privilegien-Kontrolle (PAM), Notfallzugriffe, Rezertifizierungen – das Pflichtprogramm. Entscheidend ist die Durchgängigkeit:

• Eintritt-bis-Austritt-Prozess mit Systemkopplung, kein Schatten-Excel.
• Rezertifizierungen mit Stichproben und Clear-Desk/Screen-Disziplin, adressatengerecht (Führungskräfte, Applikations-Owner, Fachbereich).
• Privilegien über Jump-Hosts, Sitzungsaufzeichnung, Least-Privilege-Profile.
• Nachweise aus Populationen: genehmigte/entzogene Rechte, Nachläuferbereinigung nach Rollenwechseln, Journal der Notfallzugriffe.

Im Asset-Management sind besonders Algo-Konfigurationen, Handelssystem-Rollen, Limit-Pflege und Preisparametrisierung kritisch – Berechtigungen müssen feingranular und nachvollziehbar sein.

5) Entwicklung, Parametrisierung & Change: Qualität sichern, Tempo halten

Viele KVGs kombinieren Standardsoftware mit intensiver Parametrisierung und individuellen Schnittstellen. KAIT stellt die Parametrisierung der Eigenentwicklung gleich:

• Trennung Dev/Test/Prod, reproduzierbare Builds, kontrollierte Deployments.
• Peer-Reviews, Testabdeckung, definierte Abnahmekriterien inkl. Sicherheits- und Compliance-Regeln.
• Freigaben mit dokumentierten Kriterien; Rückfallpläne.
• Änderungsjournal mit Bezug zu Anforderungen, Risiken und Kontrollen.

Besonderheit: Bewertungs- und Limitlogiken sind „Code in Parametern“. Jede Änderung muss wie ein Release behandelt werden: Vier-Augen-Prinzip, Test mit Produktivdaten-Spiegel, Regressionstests (z. B. historische Preisserien), Unterschrift der verantwortlichen Fach-Owner.

6) IT-Betrieb & Notfall: Wiederherstellbarkeit ist messbar

„Backup vorhanden“ reicht nicht. KAIT erwartet geprobte Wiederherstellung auf Anwendungsebene – mit Integritätsbeleg.

Pflichtdisziplin:

• Restore-Tests: nicht nur Dateien, sondern Daten- und Prozesskonsistenz (z. B. Transaktionsketten, Corporate-Actions-Historie, Bewertungsstichtage, NAV-Reproduktion).
• RTO/RPO-Ziele je Serviceklasse (Order-Platzierung, Bewertung, NAV, Meldungen) – messbar erfüllt oder Abweichung erklärt und abgearbeitet.
• Betriebsdisziplin: Monitoring/Alarmierung, Kapazität, Konfigurations- und Patch-Steuerung, Härtung, Standardisierung.
• Krisenorganisation: Eskalation, Kommunikationswege (inkl. Verwahrstelle/Administrator/Broker), Entscheidungsrechte – geübt.

Praxis-Beispiel: Ein Datenbank-Restore ist erst dann bestanden, wenn die NAV-Kette für definierte Stichtage identisch reproduzierbar ist – inklusive Corporate-Action-Effekte und Preisquellen.

7) Auslagerungen & sonstiger Fremdbezug: Steuerung statt Hoffnung

Die Lieferkette ist Teil der IT. KAIT verlangt Steuerungsfähigkeit von Due Diligence bis Exit:

• Kritikalität & Wesentlichkeit sauber bestimmen (auch für „sonstigen Fremdbezug“).
• Verträge: Informations-/Prüfungsrechte, Meldepflichten bei Vorfällen, Datenlokation, Sub-Dienstleister-Transparenz & Genehmigung, Exit/Portabilität (Formate, Fristen, Unterstützung), Sicherheitsanforderungen.
• Register sämtlicher wesentlicher Fremdbezüge mit Kritikalität, Ergebnissen, Terminen; Änderungstrigger (Sub-Provider-Wechsel, Region/Standortwechsel, Architekturänderung, Major Incident).
• Monitoring: Berichte und, wo möglich, Telemetrie (z. B. SLA-Messdaten, Security-Events, Verfügbarkeitsmetriken), Audits/Assessments, Scorecards mit Eskalationsmechanik.
• Exit-Fähigkeit: Daten-Export (vollständig, dokumentiert, geprüft), Betriebs-Escrow für kritische Komponenten, Übungen in angemessenem Zuschnitt.

Besonderheit im KVG-Umfeld: Transparenz bis zur Verwahrstelle – Schnittstellen, Abstimmprozesse und Verantwortlichkeiten müssen vertraglich und operativ klar sein. Sub-Outsourcing bei Administratoren, Preisagenten oder Cloud-Providern darf nicht zur Blackbox werden.

Daten- und Bewertungsgovernance: Das Herz der KAIT-Praxis

Kaum ein Bereich ist so sektorspezifisch wie Daten- und Bewertungsgovernance. KAIT erwartet:

• Golden-Source-Konzepte für Referenz- und Marktdaten; klare Datenhoheit (Owner), Qualitätsregeln, Plausibilitäten und Freigaben.
• Preisprozesse mit Mehrquellen-Logik, Ausreißer-Detektion, Fallback-Regeln und Audit-Spuren.
• Model Governance für Bewertungsverfahren (Input, Annahmen, Limitierungen, Validierung, Re-Kalibrierung).
• Data Lineage von der Quelle bis ins Reporting – nachvollziehbar, versioniert, prüfbar.

Kernaussage: Für KAIT ist richtig vor schnell – aber „richtig“ muss messbar sein. Ohne qualitätsgesicherte Daten- und Bewertungsprozesse ist ein KVG nicht steuerungsfähig.

Drei Verteidigungslinien: Trennen, aber zusammenarbeiten

KAIT setzt das Three-Lines-Modell voraus:

• Erste Linie (Fach/IT-Betrieb) verantwortet Umsetzung und Betrieb.
• Zweite Linie (Risiko/Compliance/Informationssicherheit) setzt Standards, misst Wirksamkeit, fordert nach.
• Dritte Linie (Interne Revision) prüft Operating Effectiveness – auf Basis nachvollziehbarer Populationen und Stichproben.

Wichtig ist die Unabhängigkeit der Sicherheits- und Risikofunktion – ebenso wichtig die Zusammenarbeit. KAIT will keine Inseln, sondern geschlossene Regelkreise.

Kennzahlen & Nachweise: Woran KAIT Wirksamkeit misst

Prüfungen entscheiden sich an Evidenzen – systemseitig, zeitlich zuordenbar, kohärent:

• Systemexporte (GRC/CMDB/Monitoring) mit Metadaten und Zeitstempeln, keine manuell gepflegten Listen.
• Risikoregister mit Maßnahmenstatus und Management-Beschlüssen.
• KPIs/KRIs: Erkennungs-/Behebungszeiten, Patch-Alter, Use-Case-Abdeckung, Restore-Erfolgsquote, Preis-Outlier-Quoten, NAV-Reproduzierbarkeit, Rezertifizierungsquote, SLA-Erfüllung kritischer Dienstleister.
• Incident-Chroniken: Erst/Zwischen/Abschluss, RCA, Lessons Learned mit Umsetzung.
• Testberichte: Akzeptanzkriterien, Messwerte, Abweichungen, Re-Tests.
• Auslagerungsdossiers: Verträge/Nachträge, Scorecards, Audit/Assessment-Berichte, Sub-Dienstleister-Ketten, Exit-Proben.

Kohärenz-Check Pflicht: Stimmen Zahlen und Fakten über Risiko, Tests, Incidents, Verträge hinweg?

Proportionalität richtig leben: Drei Szenarien

Direktbank-nahe KVG mit Standardfonds & hohem SaaS-Anteil
Fokus: Auslagerungssteuerung, Portabilität/Exit-Tests, IAM/PAM, Incident-Meldeketten, Marktdaten-Governance. Weniger Eigenentwicklung, mehr Parametrisierung-Disziplin.

Spezial-KVG mit Alternativen Anlagen
Fokus: Bewertungsmodelle, Daten-Lineage bis in illiquide Assets, Schnittstellen zur Verwahrstelle und Administratoren, szenariobasierte Notfallübungen, erhöhte Dokumentations- und Model-Governance-Tiefe.

Service-KVG mit breitem Mandatsportfolio
Fokus: End-to-End-Prozessstabilität, Mandanten-Trennung, Skalierungs-/Betriebsdisziplin, Qualitätssicherung in NAV-Ketten, Lieferanten-Konzentrationsrisiko und technische Telemetrie in der Lieferkette.

Typische Fallstricke – und wie man sie vermeidet

• Papier-Notfall ohne Restore-Evidenz → Standardisierte Restore-Schemata, NAV-Reproduktion als Akzeptanzkriterium, Re-Tests.
• Parametrisierung ohne Change-Disziplin → Vier-Augen-Freigaben, Regressionstests, Produktivdaten-Spiegel, Fach-Owner-Abnahmen.
• Preisprozesse ohne Fallback → Zweitquellen, Outlier-Regeln, dokumentierte Overrides, Audit-Spuren.
• Auslagerungsregister veraltet → Änderungstrigger (Sub-Dienstleister, Standort, Architektur, Major Incident), monatliche Pflege, quartalsweise Qualitätssicherung.
• IAM als Tabellenübung → Systemkopplung, Rezertifizierung mit Stichproben, PAM mit Sitzungsaufzeichnung, harte De-Provisioning-Fristen.
• Inkonsistenzen über Quellen → Quartalsweises Kohärenz-Review (Risiko ↔ Tests ↔ Incidents ↔ Verträge).

Von Projekt zu Routine: Ein pragmatischer Fahrplan

0–60 Tage

• Vollständige Prozess-/Asset-Inventur, Schutzbedarfe, Abhängigkeiten (inkl. Dienstleister).
• Governance festziehen: Rollen/Mandate (ISB, Supplier Manager, Incident Commander), Gremien, Berichtswege.
• Top-Risiken identifizieren, RTO/RPO je Serviceklasse festlegen.

61–120 Tage

• Testkalender mit Akzeptanzkriterien (inkl. NAV-Reproduktion, Preis-Fallback).
• Vertragsnachträge (Melde-/Prüf-/Exit-Rechte, Sub-Outsourcing, Datenlokation).
• IAM-Schärfung: Rollen, Rezertifizierung, PAM, De-Provisioning.
• Evidenz-Baukasten: systemische Exporte, Versionierung, Unveränderlichkeit (WORM/Hash).

121–180 Tage

• Probe-Audit mit Fokus Operating Effectiveness; CAPA-Plan, Re-Tests.
• Telemetrie in der Lieferkette etablieren (SLA-/Security-Daten), Scorecards und Eskalationswege.
• Kohärenz-Reviews etablieren; Management-Reporting auf Kennzahlen umstellen.

Warum sich der Aufwand lohnt

KAIT verlangt nichts Übernatürliches. Es beschreibt, was ein reifer Betrieb ohnehin leisten muss – nur sichtbar, konsistent und prüfbar. Der Ertrag ist konkret: weniger Ausfälle, kürzere Wiederherstellung, valide NAV-Prozesse, verlässliche Meldungen, stärkere Verhandlungsposition gegenüber Dienstleistern, weniger Prüfungsstress. In einem Markt, in dem Verfügbarkeit, Datenintegrität und Nachvollziehbarkeit kaufentscheidend sind – für Anleger, Verwahrstellen, Institutionen –, wird gelebte KAIT zum Wettbewerbsvorteil.

Schluss: KAIT als Abkürzung – nicht als Umweg

„Ohne Umwege“ heißt: keine Parallelwirklichkeiten zwischen IT, Fach, Risiko und Dienstleistern. KAIT gibt die gemeinsame Sprache: Ziele, Risiken, Kontrollen, Evidenzen. Wer sie annimmt, baut kein Papiergebirge, sondern ein Betriebsmodell, das entscheidungsfähig macht – im Alltag wie in der Krise. Genau darum geht es: beherrschte IT im Asset-Management, damit Rendite, Risiko und Regulierung auf demselben Fundament stehen.