Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).

Die Entwicklung der Informationstechnologie ist weit darüber hinausgegangen, dass sie ein gewöhnliches Werkzeug für Unternehmen ist, von dem diese Gebrauch machen können. IT-Praktiken waren für mehrere Unternehmen unabhängig von ihrer Branche oder Größe die notwendige Grundlage. Während es mehreren Unternehmen nicht gelingt, die Fähigkeiten ihrer IT-Praktiken zu optimieren, was dazu führen kann, dass ein Unternehmen statisch bleibt und sehr anfällig für Veralterung wird, besteht ein dringender Bedarf an der Entwicklung und Verwaltung interner Kontrollen und wesentlicher Sicherheitsniveaus, um mit den Trends Schritt halten zu können.

Und daher kommt COBIT 5 ins Spiel: Ein kurzes Verständnis von COBIT 5!
COBIT 5 wurde von ISACA entwickelt und hilft Unternehmen bei der Schaffung von Rahmenbedingungen, der Organisation und Umsetzung von Strategien für Informationsmanagement und -verwaltung. Das COBIT 5-Rahmenwerk vereinfacht eine Reihe von Managementverfahren, wobei jedes Verfahren zusammen mit Prozessinputs und -outputs, Prozesszielen, wichtigen Prozessaktivitäten, elementarem Reifegradmodell und Leistungskennzahlen sorgfältig erläutert wird. Darüber hinaus gibt es eine Menge empfohlener Best Practices für das organisatorische Management und Kontrollverfahren von Datenrahmen und Technologie mit dem Punkt der Anpassung des Unternehmens an die Informationstechnologie. COBIT ist wahrscheinlich das ganzheitlichste Rahmenwerk, das international für die Erreichung der Ziele und Vorgaben der Informationstechnologie von Organisationen anerkannt ist.

Hier erhalten Sie einen schnellen, aber detaillierten Überblick über das Scrum Framework. Dieses Whitepaper "Scrum in a Nutshell" beschreibt die wichtigsten Scrum-Rollen, Scrum-Artefakte und Scrum-Zeremonien.

Scrum - Das Agile Framework
Scrum ist ein Framework, das eine iterative und inkrementelle Produktentwicklung ermöglicht, die es erlaubt, Dinge zur richtigen Zeit zu erledigen und den Wert des Gelieferten zu maximieren. Aufgaben werden von selbstorganisierenden Teams schneller und mit höherer Qualität ausgeführt. Es wird ein hohes Maß an Selbstmotivation erreicht und ist der Grund dafür, dass Teams mit Scrum schneller eine höhere Produktivität erreichen können. Kundenanforderungen werden ständig nach dem Geschäftswert priorisiert und in regelmäßigen Abständen in das Produkt integriert, so dass der Kunde dem Team umgehend Feedback geben kann und somit die Qualität des Produkts rechtzeitig verbessert wird.

Wer im Asset-Management Verantwortung trägt – in der Geschäftsleitung, in der IT, im Risikomanagement oder in der Compliance – spürt seit Jahren den gleichen Trend: Wertschöpfung entsteht nicht mehr nur am Portfolio, sondern ebenso in Daten, Prozessen und Systemen. Order-Erfassung, Handelsanbindung, Bewertungsmodelle, NAV-Berechnung, regulatorische Meldungen, Anleger-Reporting, Risiko- und Limitkontrolle – all das läuft auf einer verteilten, oft ausgelagerten IT. Genau hier setzt KAIT an, die kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Nach BAIT (für Banken) und VAIT (für Versicherer) schließt KAIT die Lücke im dritten großen Aufsichtsspektrum: Kapitalverwaltungsgesellschaften und ihre Investmentvermögen. Der Anspruch ist klar: ohne Umwege zu einem beherrschten, prüfbaren, resilienten IT-Betrieb – proportional zum Geschäftsmodell, aber konsequent in der Sache.

Warum KAIT – und warum jetzt?

Asset Manager sind längst datengetriebene Organisationen. Produktideen, Handelsstrategien und Vertriebsmodelle mögen den Marktauftritt bestimmen; die tatsächliche Lieferfähigkeit hängt an Order-Strecken, Marktdaten, Preisprozessen, Schnittstellen zur Verwahrstelle, Abwicklung, Meldewesen, Performance- und Risikoanalytik, regulatorischer Berichterstattung sowie – zunehmend – an ausgelagerten Software-as-a-Service-Komponenten. Jede Störung in dieser Kette schlägt unmittelbar auf NAV, Handel, Reporting, Anlegerkommunikation und aufsichtliche Pflichten durch. Vor diesem Hintergrund ist KAIT kein „IT-Rundschreiben“, sondern Betriebsanleitung für eine integrierte Steuerung der IT im KVG-Kosmos.

Wer MaRisk nur als Rundschreiben im Ablageordner sieht, spürt davon wenig außer Arbeitslast. Wer MaRisk als Betriebssystem für Steuerung und Verlässlichkeit versteht, erlebt etwas anderes: Entscheidungen werden klarer, Überraschungen seltener, und die Organisation reagiert schneller – ohne hektisch zu wirken. Dieser Fachartikel erzählt, wie das gelingt. Nicht mit Paragrafenakrobatik, sondern mit dem Blick auf den gelebten Alltag: Vorstandsrunden, Kreditentscheidungen, Risikoreports, Auslagerungen, IT-Veränderungen, Stresstests. MaRisk ist dabei weder Bremse noch Selbstzweck. Es ist die Logik hinter vernünftiger Banksteuerung, übersetzt in Rollen, Prozesse und Daten.

MaRisk in einem Satz: Proportional, risikoorientiert, wirksam

Der Charme der MaRisk liegt nicht im Umfang, sondern in drei konsequenten Ideen. Proportionalität: Der Rahmen passt sich der Größe und Komplexität eines Instituts an. Risikoorientierung: Wesentliches wird vertieft, Nebensächliches bleibt schlank. Wirksamkeit: Gefordert ist nicht Papier, sondern gelebte Steuerung. Wer diese Trias ernst nimmt, verschiebt die Diskussion vom „Haben wir eine Richtlinie?“ hin zu „Trifft uns dieses Risiko – und was tun wir dann?“.