Es gab eine Zeit, in der IT-Governance vor allem aus gut sortierten Ordnern bestand: Strategiepapiere, Richtlinien, Prozesslandkarten – sauber nummeriert, formal genehmigt, in Jahresabständen aktualisiert. Prüfungen folgten demselben Takt. Man bereitete eine Woche lang Dokumente auf, führte Interviews, hakte Checklisten ab und ging zur Tagesordnung über. Diese Zeit ist vorbei. Heute wird IT-Governance an ihrer Betriebswirkung gemessen: an Zahlen, Reaktionszeiten, Nachweisen aus echten Systemen, an der Kohärenz zwischen Risiko, Kontrolle, Vorfallbearbeitung und Lieferkette. BAIT ist nicht länger das „Policy-Regelwerk für die IT“, sondern ein Wirksamkeitsrahmen für die gesamte Organisation – von der Geschäftsleitung bis zum letzten Dienstleister. Die Latte liegt höher, weil die Erwartung klarer ist: führen, steuern, belegen. Und zwar jederzeit.

Von der Papierlage zur Betriebswirkung: der Paradigmenwechsel

Früher reichte der Nachweis, dass es eine Strategie, ein Risikokonzept, ein Notfallhandbuch gibt. Heute zählt, wie diese Bausteine in den Alltag greifen. Eine IT-Strategie ohne messbare Zielgrößen, ein Risiko-Prozess ohne eskalierende Schwellenwerte, ein Notfallhandbuch ohne geprobte Wiederherstellung – all das gilt nicht mehr als „ausreichend“. BAIT wird zu einem Messsystem: Es fragt nach Zusammenhängen, nach Taktung, nach der Fähigkeit, aus Kennzahlen Entscheidungen abzuleiten und diese Entscheidungen wiederum zu belegen. Governance ist damit kein Sammlungspunkt von Dokumenten mehr, sondern ein Betriebsmodell mit Evidenzen.

Cloud ist längst nicht mehr nur Technologieentscheidung, sondern Strategiethema. Institute wollen schneller liefern, Lastspitzen elastisch abfedern, Innovationen aus der Plattform-Ökonomie nutzen – und zugleich die Kontrolle behalten: über Daten, Risiken, Lieferketten, Kosten und Nachweise. Genau an dieser Nahtstelle zwischen Geschwindigkeit und Beherrschbarkeit setzt die BAIT an. Sie schreibt nicht vor, welche Cloud zu wählen ist oder wie viele Availability Zones „genug“ sind. Aber sie macht unmissverständlich klar, dass Verantwortung im Haus bleibt, dass Auslagerung nicht Entsorgung ist und dass Prüfanforderungen nicht am Rechenzentrumsrand enden. Wer die Cloud souverän nutzen will, liest BAIT daher nicht als Bremse, sondern als Geländer: Sie definiert Leitplanken, innerhalb derer sich Institute sicher bewegen können – mit Tempo, aber ohne Kontrollverlust.

Cloud ist kein Ziel, sondern ein Betriebsmodell

Die meisten Transformationsprogramme starten mit einer langen Tool-Liste und enden in Diskussionen über Providerfunktionen. Das verfehlt den Kern. Cloud ist ein anderes Betriebsmodell: Infrastruktur, Plattform und teils komplette Anwendungen werden als Service bezogen, Verantwortlichkeiten verschieben sich entlang des „Shared-Responsibility“-Modells, Änderungen wandern vom Change-Board in Automationspipelines, und Beobachtbarkeit ersetzt Bauchgefühl. BAIT verdeutlicht, was das heißt: Governance, Risikosteuerung, Informationssicherheit, Berechtigungen, Entwicklung/Change, Betrieb/Notfall sowie Auslagerungen müssen als durchgehende Kette funktionieren – nicht als sieben Silos. Cloud wird dort beherrschbar, wo diese Kette geschlossen ist und an jeder Stelle prüfbare Spuren entstehen.

Wer im Asset Management Verantwortung trägt, weiß es aus Erfahrung: Performance entsteht nicht nur im Portfolio, sondern im Betriebssystem der Organisation – in Governance, Prozessen, Daten, Kontrollen. Genau hier setzt KaMaRisk an, die Mindestanforderungen an das Risikomanagement für Kapitalverwaltungsgesellschaften. KaMaRisk ist kein weiteres Regelwerk „für die Schublade“, sondern die Bedienungsanleitung für ein geschäftsfähiges, prüfbares und belastbares Risikomanagement entlang der gesamten Wertschöpfungskette einer KVG: von der Produktidee bis zum Jahresbericht, vom Order-Management bis zur NAV-Freigabe, von der Auslagerungsteuerung bis zur Krisenkommunikation. Dieser Beitrag führt tief in die Praxis – ohne Umwege, ohne Schlagworte. Was KaMaRisk wirklich verlangt, wie Sie die Anforderungen proportional verankern und wo Prüfungen heute ansetzen.

Was KaMaRisk ist – und warum die Debatte ohne sie nicht zu gewinnen ist

KaMaRisk übersetzt die allgemeinen Governance- und Organisationspflichten für Kapitalverwaltungsgesellschaften in operable Erwartungen an Risikosteuerung und Kontrollarchitektur. Sie ergänzt – je nach Produktregime – die europäischen Rahmen (AIFMD/OGAW) um klare, in Deutschland gelebte Aufsichtspraxis: Rollen trennen, Risiken messen, Grenzen setzen, Abweichungen managen, Verantwortung nachweisen. Der Clou ist die Prinzipienorientierung: KaMaRisk schreibt nicht jede Schraube vor, sondern Ziele und Mindeststandards – die Ausgestaltung bleibt proportional zum Geschäftsmodell. Wer wenige, hochstandardisierte OGAW-Fonds mit starkem SaaS-Anteil betreibt, braucht einen anderen Zuschnitt als eine Service-KVG mit Spezial-AIFs, illiquiden Assets und langen Auslagerungsketten. Unverhandelbar bleibt: Wirksamkeit. Nicht das Dokument zählt, sondern die Fähigkeit, in Echtzeit zu steuern und im Nachhinein zu belegen, dass es geschehen ist.

Wer im Asset-Management Verantwortung trägt – in der Geschäftsleitung, in der IT, im Risikomanagement oder in der Compliance – spürt seit Jahren den gleichen Trend: Wertschöpfung entsteht nicht mehr nur am Portfolio, sondern ebenso in Daten, Prozessen und Systemen. Order-Erfassung, Handelsanbindung, Bewertungsmodelle, NAV-Berechnung, regulatorische Meldungen, Anleger-Reporting, Risiko- und Limitkontrolle – all das läuft auf einer verteilten, oft ausgelagerten IT. Genau hier setzt KAIT an, die kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Nach BAIT (für Banken) und VAIT (für Versicherer) schließt KAIT die Lücke im dritten großen Aufsichtsspektrum: Kapitalverwaltungsgesellschaften und ihre Investmentvermögen. Der Anspruch ist klar: ohne Umwege zu einem beherrschten, prüfbaren, resilienten IT-Betrieb – proportional zum Geschäftsmodell, aber konsequent in der Sache.

Warum KAIT – und warum jetzt?

Asset Manager sind längst datengetriebene Organisationen. Produktideen, Handelsstrategien und Vertriebsmodelle mögen den Marktauftritt bestimmen; die tatsächliche Lieferfähigkeit hängt an Order-Strecken, Marktdaten, Preisprozessen, Schnittstellen zur Verwahrstelle, Abwicklung, Meldewesen, Performance- und Risikoanalytik, regulatorischer Berichterstattung sowie – zunehmend – an ausgelagerten Software-as-a-Service-Komponenten. Jede Störung in dieser Kette schlägt unmittelbar auf NAV, Handel, Reporting, Anlegerkommunikation und aufsichtliche Pflichten durch. Vor diesem Hintergrund ist KAIT kein „IT-Rundschreiben“, sondern Betriebsanleitung für eine integrierte Steuerung der IT im KVG-Kosmos.

Wer die IT-Aufsicht im Versicherungssektor verstehen will, kommt an einem Kürzel nicht vorbei: VAIT – die versicherungsaufsichtlichen Anforderungen an die IT. Hinter dem Begriff verbirgt sich kein reines Technikpapier, sondern eine klare Erwartungshaltung der Aufsicht an Governance, Organisation und Betrieb der IT bei Versicherungsunternehmen. VAIT macht deutlich: IT ist nicht Hilfsdisziplin, sondern Kern der Wertschöpfung – vom Antrag bis zur Leistung, vom Aktuariat bis zur Kapitalanlage, vom Vermittlerportal bis zum Schadenworkflow. Dieser Beitrag ordnet VAIT ein, erklärt die gemeinsame Logik hinter den Kapiteln und zeigt, welche Schritte Versicherer jetzt konkret gehen sollten, damit „VAIT-konform“ nicht auf dem Papier endet, sondern im Alltag wirkt.

Warum VAIT? Vom Nebenprozess zur Steuerungsaufgabe

Versicherung ist Informationsverarbeitung: Tarifierung, Bestandsführung, Leistungsprüfung, Meldewesen – alles beruht auf Daten, Anwendungen und vernetzten Prozessen. Störungen sind daher nicht nur IT-Probleme, sondern Geschäftsrisiken. Genau hier setzt VAIT an. Das Rundschreiben übersetzt die bekannten Grundsätze guter Geschäftsorganisation in die IT-Wirklichkeit des Versicherers: verantwortliche Leitung, risikobasierte Steuerung, nachweisbare Wirksamkeit. Die Ausrichtung ist prinzipienorientiert und proportional: Es gibt Ziele und Mindeststandards, aber keine Einheitscheckliste. Tiefe und Taktung richten sich nach Geschäftsmodell, Komplexität und Kritikalität.