Im April 2023 hat die kanadische Finanzaufsichtsbehörde (Office of the Superintendent of Financial Institutions, OSFI) die Richtlinie B-10 zum Risikomanagement bei Dritten fertiggestellt, die sich mit den operativen und finanziellen Risiken im Zusammenhang mit Beziehungen zu Anbietern und Lieferanten befasst.
Die Richtlinie B-10 legt die Erwartungen an bundesregulierte Finanzinstitute (FRFIs) hinsichtlich des Managements von Risiken im Zusammenhang mit Vereinbarungen mit Dritten fest. Die Richtlinie besagt:
„Das OSFI erwartet von der FRFI, dass sie die Risiken im Zusammenhang mit allen Vereinbarungen mit Dritten verwaltet, und betont, dass die FRFI die Verantwortung für die an Dritte ausgelagerten Geschäftsaktivitäten, Funktionen und Dienstleistungen behält.
„Zu diesem Zweck sind FRFIs verpflichtet, dem OSFI auf Anfrage Informationen über ihre geschäftlichen und strategischen Vereinbarungen mit Dritten, ihr Risikomanagement und ihre Kontrollumgebungen zur Verfügung zu stellen, um die Aufsichtstätigkeit und die Überprüfungsarbeit zu unterstützen. Das OSFI erwartet, unverzüglich über wesentliche Probleme informiert zu werden, die aufgrund einer Vereinbarung mit Dritten die Fähigkeit der FRFI beeinträchtigen, kritische Operationen durchzuführen.“
Die Richtlinie erweitert auch die Definition eines Dritten, um weitere Einrichtungen wie unabhängige Fachleute, Makler und Versorgungsunternehmen einzubeziehen, und empfiehlt, alle Arten von Dritten in die Risikobewertung einzubeziehen.
Der Grund für diese neuen Anforderungen ist die Verlagerung von der Wesentlichkeit zur Kritikalität - wenn ein Dritter eine Funktion ausübt, die für die Bereitstellung eines bedeutenden Vorgangs, einer Funktion oder einer Dienstleistung durch das FRFI wesentlich ist, ist ein zweigleisiger Ansatz erforderlich, bei dem das Risiko und die Kritikalität die Art und den Umfang der Due-Diligence-Aktivitäten bestimmen.
Zu diesem Zweck wird in der Richtlinie auch anerkannt, dass Organisationen die Art und das Ausmaß der Risiken identifizieren müssen, die sich aus jeder Vereinbarung mit Dritten (einschließlich Unterauftragsvereinbarungen) ergeben, damit die FRFI jede Vereinbarung mit Dritten mit der angemessenen Intensität verwalten kann. Dies erfordert ein Verständnis der Risiken und der Kritikalität jeder Vereinbarung mit Dritten sowie der Größe, Art, des Umfangs, der Komplexität der Geschäftstätigkeit und des Risikoprofils der FRFI.
Das OSFI räumt ferner ein, dass die Möglichkeit, Risiken durch Dritte mittels Vertragsbedingungen zu steuern, in manchen Fällen begrenzt sein kann. Dennoch erwartet das OSFI, dass die FRFI Risiken in angemessener Weise durch Überwachung, Maßnahmen zur Aufrechterhaltung des Geschäftsbetriebs, Notfallplanung und andere Resilienzmechanismen steuert.
Dieser Beitrag untersucht die Anforderungen an das Risikomanagement für Dritte in der OSFI-Richtlinie B10 und identifiziert Funktionen der Prevalent Third-Party Risk Management Platform, mit denen diese Anforderungen erfüllt werden können.
Sechs erwartete Ergebnisse
Die Richtlinie B-10 nennt sechs erwartete Ergebnisse, die FRFIs durch ein wirksames Risikomanagement für Dritte erzielen sollen. Diese Ergebnisse sollen zur operativen und finanziellen Widerstandsfähigkeit der FRFI beitragen und ihren Ruf schützen.
Sechs erwartete Ergebnisse, die FRFIs durch das Management von Risiken durch Dritte erzielen sollen. Grafik in Anlehnung an die OSFI-Richtlinie B-10.
Zuordnung der gängigen Funktionen zu den Grundsätzen der OSFI-Richtlinie B-10
Die sechs erwarteten Ergebnisse werden durch elf Grundsätze unterstützt, die das OSFI als Best Practices für das Risikomanagement von Dritten beschreibt. Die folgende Zusammenfassung ordnet die Funktionen der gängigen Risikomanagementplattformen für Dritte diesen elf Grundsätzen zu.
HINWEIS: Dies sollte nicht als umfassende, endgültige Anleitung betrachtet werden. Eine vollständige Liste der Anforderungen erhalten Sie von Ihrem Wirtschaftsprüfer.
Ergebnis 1: Klare Führungs- und Verantwortlichkeitsstrukturen mit umfassenden Risikostrategien und Rahmenregelungen.
Grundsätze 1 und 2: Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) aufzubauen, das auf bewährten Best Practices und umfangreicher Praxiserfahrung basiert. Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus von Risiken durch Dritte abdeckt – von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung.
Ergebnis 2: Risiken, die von Dritten ausgehen, werden ermittelt und bewertet.
Prinzip 3: Prevalent beginnt mit der Zentralisierung und Automatisierung der Verteilung, des Vergleichs und der Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs). Unsere Lösungen liefern außerdem Einblicke in geschäftliche, reputationsbezogene, finanzielle und datenschutzrechtliche Risiken, um Entscheidungen zur Lieferantenauswahl zu fundieren und in einen Kontext zu stellen. Anschließend leitet Prevalent jeden ausgewählten Lieferanten in die Vertrags- und/oder Onboarding-Due-Diligence-Phase über und führt den Lieferanten automatisch durch den Lebenszyklus als Drittanbieter.
Prinzip 4: Als Nächstes bietet Prevalent eine vorvertragliche Due-Diligence-Prüfung mit einer klaren Bewertung anhand von acht Kriterien an, um die inhärenten Risiken für alle Dritten zu erfassen, zu verfolgen und zu quantifizieren. Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team Lieferanten automatisch einstufen, angemessene Stufen für weitere Sorgfaltsprüfungen festlegen und den Umfang der laufenden Bewertungen bestimmen. Die regelbasierte Einstufungslogik ermöglicht die Kategorisierung von Anbietern unter Berücksichtigung einer Reihe von Faktoren wie Dateninteraktion, Finanzen, Regulierung und Reputation.
Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für laufende Risikobewertungen von Drittanbietern. Diese sind in native Funktionen zur Überwachung von Cyber-, Geschäfts-, Reputations- und Finanzrisiken integriert, die die Bewertungsergebnisse kontinuierlich validieren und Lücken zwischen den Bewertungen schließen. Integrierte Empfehlungen zur Behebung von Mängeln stellen sicher, dass Drittanbieter Risiken zeitnah und zufriedenstellend beheben.
Grundsatz 5: Im Rahmen der Bewertung des inhärenten Risikos und des Onboarding-Prozesses kann Prevalent Subunternehmerbeziehungen von Vierten und N-ten Parteien identifizieren, indem es eine fragebogengestützte Bewertung durchführt oder die öffentlich zugängliche Infrastruktur des Dritten passiv scannt. Die daraus resultierende Beziehungskarte zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten. Die durch diesen Prozess ermittelten Lieferanten werden kontinuierlich überwacht, um finanzielle, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken sowie Sanktionen/PEP-Screening zu identifizieren. Dieser Ansatz liefert Erkenntnisse zur Bewältigung potenzieller technologischer oder geografischer Konzentrationsrisiken.
Ergebnis 3: Risiken, die von Dritten ausgehen, werden innerhalb des Rahmens für die Risikobereitschaft des FRFI verwaltet und gemildert.
Prinzip 6:
Prevalent zentralisiert die Verteilung, Besprechung, Aufbewahrung und Überprüfung von Lieferantenverträgen, in denen die Rechte und Pflichten jeder Partei festgelegt sind. Außerdem bietet es Workflow-Funktionen zur Automatisierung des Vertragslebenszyklus vom Onboarding bis zum Offboarding.
Grundsatz 7: Darüber hinaus bietet Prevalent eine zentralisierte, kollaborative Plattform für die Durchführung von Datenschutzbewertungen und die Minderung sowohl externer als auch interner Datenschutzrisiken, um sicherzustellen, dass geeignete Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Aufzeichnungen und Daten ergriffen werden.
Prinzip 8: Prevalent automatisiert die Compliance-Prüfung des Risikomanagements von Drittanbietern, indem es Informationen zu Lieferantenrisiken sammelt, Risiken quantifiziert, Abhilfemaßnahmen empfiehlt und Berichte für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken erstellt. Prevalent ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch den Rahmenwerken ISO 27001, NIST, DSGVO, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS und anderen zu, sodass Sie wichtige Compliance-Anforderungen schnell visualisieren und umsetzen können.
Grundsatz 9: Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Schwachstellen in den Resilienz- und Kontinuitäts
en von Drittanbietern und ordnet die Ergebnisse automatisch den Kontrollrahmenwerken von NIST, ISO und anderen zu, um sicherzustellen, dass Drittanbieter auch bei Störungen ihren Betrieb aufrechterhalten können und über einen aktivierten Plan für Geschäftskontinuität und Notfallwiederherstellung verfügen.
Ergebnis 4: Die Leistung von Dritten wird überwacht und bewertet, und Risiken und Zwischenfälle werden proaktiv angegangen.
Grundsatz 10: Prevalent verfolgt und analysiert kontinuierlich externe Bedrohungen für Dritte. Die Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen. Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch die Risikoprüfung, Berichterstattung und Reaktionsinitiativen optimiert werden.
Prinzip 11: Prevalent ermöglicht es Ihrem Team, die Auswirkungen von Vorfällen bei Drittanbietern, die sich auf die operative und finanzielle Widerstandsfähigkeit auswirken könnten, schnell zu identifizieren und zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet und auf Leitlinien zur Behebung von Problemen zugreift.
Ergebnis 5: Das Risikomanagementprogramm für Dritte der FRFI ermöglicht es der FRFI, eine Reihe von Beziehungen zu Dritten kontinuierlich zu identifizieren und zu verwalten.
Wie in Grundsatz 1 erläutert, arbeitet Prevalent mit Ihnen zusammen, um ein umfassendes Programm zum Management von Risiken durch Dritte (Third-Party Risk Management, TPRM) aufzubauen, das auf bewährten Best Practices und umfangreichen praktischen Erfahrungen basiert.
Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke für die Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus von Risiken durch Dritte abdeckt – von der Beschaffung und Due Diligence bis hin zur Kündigung und zum Offboarding.
Ergebnis 6: Die von Dritten durchgeführten Technologie- und Cyberoperationen sind transparent, zuverlässig und sicher.
Die Prevalent-Plattform umfasst eine umfangreiche Bibliothek standardisierter Bewertungen (einschließlich solcher für NIST- und ISO-Best-Practice-Frameworks ) und Anpassungsfunktionen, um Dritte flexibel bewerten zu können. Für Dritte, die anstelle einer vollständigen Risikobewertung durch Dritte einen SOC 2-Bericht einreichen, ermöglicht Prevalent Ihnen, die im SOC 2-Bericht identifizierten Kontrolllücken abzubilden, Risikoelemente für den Dritten innerhalb einer zentralen Bewertungsplattform zu erstellen und Mängel zusammen mit anderen Risiken zu verfolgen und zu melden.
Unabhängig vom Cybersecurity-Framework können Sie mit Prevalent die Bewertungszeiten verkürzen und die Risiken minimieren.
Nächste Schritte für die Einhaltung der OSFI-Richtlinie B10 zum Risikomanagement durch Dritte
Prevalent kann Unternehmen dabei helfen, die Bewertung und kontinuierliche Überwachung der geschäftlichen und finanziellen Widerstandsfähigkeit von Drittanbietern zu automatisieren, um die Einhaltung der OSFI-Richtlinie B-10 zu unterstützen.
Für spezifische Hinweise dazu, wie Prevalent Ihnen bei der Erfüllung der Anforderungen der OSFI-Richtlinie B-10 helfen kann, laden Sie die vollständige OSFI-Compliance-Checkliste herunter oder fordern Sie noch heute eine Demo an.
Anmerkung der Redaktion: Dieser Beitrag wurde ursprünglich veröffentlicht auf Prävalent.net. Im Oktober 2024 übernahm Mitratech das KI-gestützte Risikomanagement für Dritte, Prevalent. Der Inhalt wurde seitdem aktualisiert und enthält nun Informationen, die auf unser Produktangebot, regulatorische Änderungen und Compliance abgestimmt sind.
