Es gab eine Zeit, in der IT-Governance vor allem aus gut sortierten Ordnern bestand: Strategiepapiere, Richtlinien, Prozesslandkarten – sauber nummeriert, formal genehmigt, in Jahresabständen aktualisiert. Prüfungen folgten demselben Takt. Man bereitete eine Woche lang Dokumente auf, führte Interviews, hakte Checklisten ab und ging zur Tagesordnung über. Diese Zeit ist vorbei. Heute wird IT-Governance an ihrer Betriebswirkung gemessen: an Zahlen, Reaktionszeiten, Nachweisen aus echten Systemen, an der Kohärenz zwischen Risiko, Kontrolle, Vorfallbearbeitung und Lieferkette. BAIT ist nicht länger das „Policy-Regelwerk für die IT“, sondern ein Wirksamkeitsrahmen für die gesamte Organisation – von der Geschäftsleitung bis zum letzten Dienstleister. Die Latte liegt höher, weil die Erwartung klarer ist: führen, steuern, belegen. Und zwar jederzeit.

Von der Papierlage zur Betriebswirkung: der Paradigmenwechsel

Früher reichte der Nachweis, dass es eine Strategie, ein Risikokonzept, ein Notfallhandbuch gibt. Heute zählt, wie diese Bausteine in den Alltag greifen. Eine IT-Strategie ohne messbare Zielgrößen, ein Risiko-Prozess ohne eskalierende Schwellenwerte, ein Notfallhandbuch ohne geprobte Wiederherstellung – all das gilt nicht mehr als „ausreichend“. BAIT wird zu einem Messsystem: Es fragt nach Zusammenhängen, nach Taktung, nach der Fähigkeit, aus Kennzahlen Entscheidungen abzuleiten und diese Entscheidungen wiederum zu belegen. Governance ist damit kein Sammlungspunkt von Dokumenten mehr, sondern ein Betriebsmodell mit Evidenzen.

Cloud ist längst nicht mehr nur Technologieentscheidung, sondern Strategiethema. Institute wollen schneller liefern, Lastspitzen elastisch abfedern, Innovationen aus der Plattform-Ökonomie nutzen – und zugleich die Kontrolle behalten: über Daten, Risiken, Lieferketten, Kosten und Nachweise. Genau an dieser Nahtstelle zwischen Geschwindigkeit und Beherrschbarkeit setzt die BAIT an. Sie schreibt nicht vor, welche Cloud zu wählen ist oder wie viele Availability Zones „genug“ sind. Aber sie macht unmissverständlich klar, dass Verantwortung im Haus bleibt, dass Auslagerung nicht Entsorgung ist und dass Prüfanforderungen nicht am Rechenzentrumsrand enden. Wer die Cloud souverän nutzen will, liest BAIT daher nicht als Bremse, sondern als Geländer: Sie definiert Leitplanken, innerhalb derer sich Institute sicher bewegen können – mit Tempo, aber ohne Kontrollverlust.

Cloud ist kein Ziel, sondern ein Betriebsmodell

Die meisten Transformationsprogramme starten mit einer langen Tool-Liste und enden in Diskussionen über Providerfunktionen. Das verfehlt den Kern. Cloud ist ein anderes Betriebsmodell: Infrastruktur, Plattform und teils komplette Anwendungen werden als Service bezogen, Verantwortlichkeiten verschieben sich entlang des „Shared-Responsibility“-Modells, Änderungen wandern vom Change-Board in Automationspipelines, und Beobachtbarkeit ersetzt Bauchgefühl. BAIT verdeutlicht, was das heißt: Governance, Risikosteuerung, Informationssicherheit, Berechtigungen, Entwicklung/Change, Betrieb/Notfall sowie Auslagerungen müssen als durchgehende Kette funktionieren – nicht als sieben Silos. Cloud wird dort beherrschbar, wo diese Kette geschlossen ist und an jeder Stelle prüfbare Spuren entstehen.

Bis gestern haben Sie Features priorisiert, als ginge es um die Frage „Was bringt den nächsten großen Kunden, was begeistert die Presse, was macht den Vertrieb glücklich?“. Ab morgen steht eine andere Frage im Raum: „Welche dieser Funktionen können wir überhaupt noch verantworten, ohne gegen den Cyber Resilience Act (CRA) zu verstoßen – und wer haftet, wenn wir es trotzdem tun?“ Das mag dramatisch klingen, ist aber nüchtern betrachtet die neue Realität für alle, die Produkte mit digitalen Komponenten bauen, betreiben oder vertreiben. Der CRA dreht die Blickrichtung von außen nach innen: Weg von der Feature-Show, hin zur belastbaren Fähigkeit, ein Produkt über seinen gesamten Lebenszyklus sicher zu halten. Und genau deshalb sprengt er klassische Roadmap-Rituale – nicht aus Bosheit, sondern aus Notwendigkeit.

Was sich verändert, ist nicht nur eine Liste von Pflichten, sondern die Logik, nach der Sie Entscheidungen treffen. Der CRA macht Sicherheit zu einer Marktzulassungsbedingung und verknüpft sie mit nachweisbarer Sorgfalt. Wo bislang „Security“ ein Arbeitspaket im Projektplan war, wird sie zur architektonischen Grundannahme und zur Managementaufgabe, an der sich Budgets, Zeitpläne, Vertragswerke und sogar Marketingclaims ausrichten müssen. Wer Roadmaps weiterhin wie Wunschzettel behandelt, produziert in Zukunft nicht Innovationen, sondern Haftungsrisiken.

Wer im Asset Management Verantwortung trägt, weiß es aus Erfahrung: Performance entsteht nicht nur im Portfolio, sondern im Betriebssystem der Organisation – in Governance, Prozessen, Daten, Kontrollen. Genau hier setzt KaMaRisk an, die Mindestanforderungen an das Risikomanagement für Kapitalverwaltungsgesellschaften. KaMaRisk ist kein weiteres Regelwerk „für die Schublade“, sondern die Bedienungsanleitung für ein geschäftsfähiges, prüfbares und belastbares Risikomanagement entlang der gesamten Wertschöpfungskette einer KVG: von der Produktidee bis zum Jahresbericht, vom Order-Management bis zur NAV-Freigabe, von der Auslagerungsteuerung bis zur Krisenkommunikation. Dieser Beitrag führt tief in die Praxis – ohne Umwege, ohne Schlagworte. Was KaMaRisk wirklich verlangt, wie Sie die Anforderungen proportional verankern und wo Prüfungen heute ansetzen.

Was KaMaRisk ist – und warum die Debatte ohne sie nicht zu gewinnen ist

KaMaRisk übersetzt die allgemeinen Governance- und Organisationspflichten für Kapitalverwaltungsgesellschaften in operable Erwartungen an Risikosteuerung und Kontrollarchitektur. Sie ergänzt – je nach Produktregime – die europäischen Rahmen (AIFMD/OGAW) um klare, in Deutschland gelebte Aufsichtspraxis: Rollen trennen, Risiken messen, Grenzen setzen, Abweichungen managen, Verantwortung nachweisen. Der Clou ist die Prinzipienorientierung: KaMaRisk schreibt nicht jede Schraube vor, sondern Ziele und Mindeststandards – die Ausgestaltung bleibt proportional zum Geschäftsmodell. Wer wenige, hochstandardisierte OGAW-Fonds mit starkem SaaS-Anteil betreibt, braucht einen anderen Zuschnitt als eine Service-KVG mit Spezial-AIFs, illiquiden Assets und langen Auslagerungsketten. Unverhandelbar bleibt: Wirksamkeit. Nicht das Dokument zählt, sondern die Fähigkeit, in Echtzeit zu steuern und im Nachhinein zu belegen, dass es geschehen ist.

Wer im Asset-Management Verantwortung trägt – in der Geschäftsleitung, in der IT, im Risikomanagement oder in der Compliance – spürt seit Jahren den gleichen Trend: Wertschöpfung entsteht nicht mehr nur am Portfolio, sondern ebenso in Daten, Prozessen und Systemen. Order-Erfassung, Handelsanbindung, Bewertungsmodelle, NAV-Berechnung, regulatorische Meldungen, Anleger-Reporting, Risiko- und Limitkontrolle – all das läuft auf einer verteilten, oft ausgelagerten IT. Genau hier setzt KAIT an, die kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Nach BAIT (für Banken) und VAIT (für Versicherer) schließt KAIT die Lücke im dritten großen Aufsichtsspektrum: Kapitalverwaltungsgesellschaften und ihre Investmentvermögen. Der Anspruch ist klar: ohne Umwege zu einem beherrschten, prüfbaren, resilienten IT-Betrieb – proportional zum Geschäftsmodell, aber konsequent in der Sache.

Warum KAIT – und warum jetzt?

Asset Manager sind längst datengetriebene Organisationen. Produktideen, Handelsstrategien und Vertriebsmodelle mögen den Marktauftritt bestimmen; die tatsächliche Lieferfähigkeit hängt an Order-Strecken, Marktdaten, Preisprozessen, Schnittstellen zur Verwahrstelle, Abwicklung, Meldewesen, Performance- und Risikoanalytik, regulatorischer Berichterstattung sowie – zunehmend – an ausgelagerten Software-as-a-Service-Komponenten. Jede Störung in dieser Kette schlägt unmittelbar auf NAV, Handel, Reporting, Anlegerkommunikation und aufsichtliche Pflichten durch. Vor diesem Hintergrund ist KAIT kein „IT-Rundschreiben“, sondern Betriebsanleitung für eine integrierte Steuerung der IT im KVG-Kosmos.