OSFI of Canada Leitlinie B-10 Einhaltung

Kontakt zu einem Experten

Zurück zu allen Use Cases

Leitlinie B-10 und Risikomanagement für Drittparteien

Die Richtlinie B-10 des kanadischen Office of the Superintendent of Financial Institutions (OSFI) zum Risikomanagement von Drittparteien befasst sich mit den operativen und finanziellen Risiken, die mit den Beziehungen zu Verkäufern und Lieferanten verbunden sind.

Leitlinie B-10 legt die Erwartungen für bundesstaatlich regulierte Finanzinstitute (FRFIs) fest, um Risiken im Zusammenhang mit Vereinbarungen mit Dritten zu steuern.

Der Leitfaden erweitert außerdem die Definition des Begriffs "Dritter" auf weitere Einrichtungen wie Freiberufler, Makler und Versorgungsunternehmen und empfiehlt, alle Arten von Dritten in die Risikobewertung einzubeziehen.

Der Grund für diese neuen Anforderungen ist die Verlagerung von der Wesentlichkeit zur Kritikalität - wenn ein Dritter eine Funktion ausübt, die für die Bereitstellung eines bedeutenden Vorgangs, einer Funktion oder einer Dienstleistung durch das FRFI wesentlich ist, ist ein zweigleisiger Ansatz erforderlich, bei dem das Risiko und die Kritikalität die Art und den Umfang der Due-Diligence-Aktivitäten bestimmen.

Relevante Anforderungen

  • Klare Führungs- und Verantwortungsstrukturen mit umfassenden Risikostrategien und -rahmen

  • Risiken, die von Dritten ausgehen, werden ermittelt und bewertet

  • Risiken, die von Dritten ausgehen, werden innerhalb des FRFI-Rahmens für die Risikobereitschaft verwaltet und gemildert.

  • Die Leistung von Drittanbietern wird überwacht und bewertet, und Risiken und Zwischenfälle werden proaktiv angegangen.

  • Das Risikomanagementprogramm der FRFI für Dritte ermöglicht es der FRFI, eine Reihe von Beziehungen zu Dritten zu identifizieren und kontinuierlich zu verwalten

  • Technologie und Cyberoperationen, die von Dritten durchgeführt werden, sind transparent, zuverlässig und sicher

Einhaltung der OSFI-Richtlinie B-10

Leitlinie B-10 stellt sechs erwartete Ergebnisse vor, die FRFI durch das Management von Risiken Dritter erreichen sollen. Diese Ergebnisse sollen zur operativen und finanziellen Widerstandsfähigkeit der FRFI beitragen und ihren Ruf schützen.

Die sechs erwarteten Ergebnisse werden durch 11 Grundsätze unterstützt, die das OSFI als Best Practices für das Risikomanagement für Dritte beschreibt. In der nachstehenden Übersichtstabelle werden die Fähigkeiten der Prevalent Third-Party Risk Management Platform diesen 11 Grundsätzen zugeordnet.

HINWEIS: Diese Tabelle sollte nicht als umfassende, endgültige Anleitung angesehen werden. Wenden Sie sich an Ihren Prüfer, um eine vollständige Liste der Anforderungen zu erhalten.

OSFI-Leitlinie B-10 Grundsätze Wie wir helfen
Ergebnis 1: Klare Führungs- und Verantwortlichkeitsstrukturen mit umfassenden Risikostrategien und Rahmenregelungen.
Grundsatz 1: “The FRFI is ultimately accountable for managing the risks arising from all types of third-party arrangements.”

Grundsatz 2: "Die FRFI sollten einen Rahmen für das Risikomanagement Dritter (TPRMF) einrichten, der klare Verantwortlichkeiten, Zuständigkeiten, Strategien und Prozesse für die Identifizierung, Steuerung, Minderung, Überwachung und Berichterstattung über Risiken im Zusammenhang mit der Inanspruchnahme Dritter festlegt."

 Prevalent arbeitet mit Ihnen zusammen, um ein umfassendes Programm für das Risikomanagement von Drittanbietern (TPRM) zu entwickeln, das auf bewährten Verfahren und umfassender praktischer Erfahrung basiert.

Unsere Experten arbeiten mit Ihrem Team zusammen, um TPRM-Prozesse und -Lösungen zu definieren und zu implementieren, Fragebögen und Rahmenwerke zur Risikobewertung auszuwählen und Ihr Programm so zu optimieren, dass es den gesamten Lebenszyklus des Risikos von Drittanbietern abdeckt - von der Beschaffung und Due Diligence bis hin zur Kündigung und Ausgliederung.

Als Teil dieses Prozesses kann Prevalent Ihnen bei der Definition helfen:

  • Klare Rollen und Verantwortlichkeiten (z. B. RACI)
  • Vorräte von Dritten
  • Risikoeinstufung und Schwellenwerte auf der Grundlage der Risikotoleranz Ihres Unternehmens
  • Bewertungs- und Überwachungsmethoden auf der Grundlage der Kritikalität von Dritten
  • Kartierung von Drittanbietern
  • Quellen für kontinuierliche Überwachungsdaten (Cyber-, Geschäfts-, Reputations- und Finanzdaten)
  • Zentrale Leistungsindikatoren (KPIs) und zentrale Risikoindikatoren (KRIs)
  • Richtlinien, Standards, Systeme und Prozesse zum Schutz von Daten
  • Einhaltung von Vorschriften und vertraglichen Berichterstattungsanforderungen in Bezug auf Service-Levels
  • Anforderungen an die Reaktion auf Vorfälle
  • Risiko- und interne Stakeholder-Berichterstattung
  • Strategien zur Risikominderung und -behebung
Ergebnis 2: Risiken, die von Dritten ausgehen, werden ermittelt und bewertet.
Grundsatz 3: "Das FRFI sollte die Risiken einer Drittpartei-Vereinbarung ermitteln und bewerten, bevor es die Vereinbarung eingeht und danach in regelmäßigen Abständen. Die Risikobewertungen sollten in einem angemessenen Verhältnis zur Kritikalität einer Vereinbarung stehen. Insbesondere sollte das FRFI Risikobewertungen durchführen, um über die Auswahl von Dritten zu entscheiden, das Risiko und die Kritikalität der Vereinbarung (erneut) bewerten und eine angemessene Risikominderung und -überwachung planen." Prevalent zentralisiert und automatisiert die Verteilung, den Vergleich und die Verwaltung von Ausschreibungen (RFPs) und Informationsanfragen (RFIs). Unsere Lösungen liefern außerdem Einblicke in geschäftliche, reputationsbezogene, finanzielle und datenschutzrechtliche Risiken, um Informationen bereitzustellen und Kontext hinzuzufügen. Lieferantenauswahl Entscheidungen.

Prevalent leitet jeden ausgewählten Anbieter in die Vertrags- und/oder Onboarding-Due-Diligence-Phasen über und führt den Anbieter automatisch durch den Lebenszyklus des Drittanbieters.

Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für laufende Risikobewertungen Dritter. Diese sind mit nativen Funktionen zur Überwachung von Cyber-, Betriebs-, Reputations- und Finanzrisiken integriert, die die Bewertungsergebnisse kontinuierlich validieren und Lücken zwischen den Bewertungen schließen.

Eingebaute Empfehlungen für Abhilfemaßnahmen stellen sicher, dass Dritte die Risiken rechtzeitig und in zufriedenstellender Weise angehen.

Mit dieser Fähigkeit bewertet Prevalent Dritte vor dem Abschluss von Vereinbarungen mit Dritten, regelmäßig während der gesamten Beziehung und immer dann, wenn es eine wesentliche Änderung in der Beziehung gibt, die durch kontinuierliche Überwachung ausgelöst wird.
Grundsatz 4: "Der FRFI sollte eine Due-Diligence-Prüfung durchführen, bevor er Verträge oder andere Formen von Vereinbarungen mit Dritten eingeht, und zwar auf einer fortlaufenden Basis, die dem Risikoniveau und der Kritikalität der Vereinbarung angemessen ist." Prevalent offers a pre-contract due diligence assessment with clear scoring based on eight criteria to capture, track and quantify inhärente Risiken for all third parties. Criteria includes:

  • Art des für die Validierung der Kontrollen erforderlichen Inhalts
  • Kritische Bedeutung für die Unternehmensleistung und den Betrieb
  • Standort(e) und damit verbundene rechtliche oder regulatorische Erwägungen
  • Grad der Abhängigkeit von vierten Parteien (zur Vermeidung von Konzentrationsrisiken)
  • Erfahrung mit operativen oder kundenorientierten Prozessen
  • Interaktion mit geschützten Daten
  • Finanzieller Status und Gesundheit
  • Reputation

Auf der Grundlage dieser inhärenten Risikobewertung kann Ihr Team die Lieferanten automatisch in eine bestimmte Kategorie einordnen, angemessene Stufen für die weitere Prüfung festlegen und den Umfang der laufenden Bewertungen bestimmen.

Die regelbasierte Tiering-Logik ermöglicht die Kategorisierung von Anbietern anhand einer Reihe von Überlegungen zur Dateninteraktion sowie zu finanziellen, regulatorischen und Reputationsaspekten.

Prevalent verfügt über eine Bibliothek mit mehr als 750 vorgefertigten Vorlagen für Risikobewertungen Dritter. Die Bewertungen können zum Zeitpunkt der Vertragserneuerung oder in beliebigen Abständen (z. B. vierteljährlich oder jährlich) durchgeführt werden. Die Bewertungsfragebögen können global oder regional ausgerichtet sein, um speziellen rechtlichen oder betrieblichen Anforderungen gerecht zu werden.

Prevalent liefert integrierte Empfehlungen zur Behebung von Risiken auf der Grundlage der Ergebnisse der Risikobewertung. Diese werden durch Workflow- und Aufgabenmanagementfunktionen unterstützt, um sicherzustellen, dass Dritte die Risiken rechtzeitig und zufriedenstellend angehen.

Integrierte, systemeigene Funktionen zur Überwachung von Cyber-, Betriebs-, Reputations- und Finanzrisiken zeigen wesentliche Veränderungen zwischen den regelmäßigen Bewertungen an und können Benachrichtigungen, Folgebewertungen oder andere Maßnahmen auslösen.

Mit dieser Funktion ermöglicht Prevalent Ihrem Unternehmen eine Risikobewertung vor Abschluss der Vereinbarung, als Teil des Vertragserneuerungsprozesses und regelmäßig auf einer fortlaufenden Basis, die dem Risikoniveau und der Kritikalität entspricht, oder immer dann, wenn es wesentliche Änderungen an der Vereinbarung mit Dritten gibt.
Grundsatz 5: "Der FRFI ist für die Ermittlung, Überwachung und Steuerung der Risiken verantwortlich, die sich aus den von seinen Dritten durchgeführten Unterauftragsvergaben ergeben." Prevalent kann die Beziehungen zwischen Unterauftragnehmern der vierten und dritten Partei durch eine fragebogenbasierte Bewertung oder durch passives Scannen der öffentlich zugänglichen Infrastruktur der dritten Partei identifizieren. Die daraus resultierende Beziehungsübersicht zeigt Informationspfade und Abhängigkeiten auf, die Ihre Umgebung einem Risiko aussetzen könnten.

Lieferanten, die durch diesen Prozess entdeckt werden, werden kontinuierlich überwacht, um Finanz-, ESG-, Cyber-, Geschäfts- und Datenverletzungsrisiken zu identifizieren sowie auf Sanktionen und PEP zu prüfen.

Dieser Ansatz bietet Einblicke, um potenzielle technologische oder geografische Konzentrationsrisiken anzugehen.
Ergebnis 3: Risiken, die von Dritten ausgehen, werden innerhalb des Rahmens für die Risikobereitschaft des FRFI verwaltet und gemildert.
Grundsatz 6: "Der FRFI sollte schriftliche Vereinbarungen treffen, in denen die Rechte und Pflichten der einzelnen Parteien festgelegt sind." Prevalent zentralisiert die Verteilung, Diskussion, Speicherung und Überprüfung von Lieferantenverträge. It also offers workflow capabilities to automate the contract lifecycle from onboarding to offboarding. Key capabilities include:

  • Zentrale Nachverfolgung aller Verträge und Vertragsattribute wie Typ, Stichtage, Wert, Mahnungen und Status - mit individuellen, rollenbasierten Ansichten
  • Workflow-Funktionen (basierend auf Benutzer oder Vertragsart) zur Automatisierung des Lebenszyklus der Vertragsverwaltung
  • Automatische Mahnungen und Überfälligkeitsmitteilungen zur Rationalisierung von Vertragsprüfungen
  • Zentralisierte Vertragsdiskussion und Verfolgung von Kommentaren
  • Vertrags- und Dokumentenspeicherung mit rollenbasierten Berechtigungen und Prüfprotokollen für alle Zugriffe
  • Versionskontrolle, die die Offline-Bearbeitung von Verträgen und Dokumenten unterstützt
  • Rollenbasierte Berechtigungen, die die Zuweisung von Aufgaben, den Zugriff auf Verträge und den Lese-/Schreib-/Modifizierungszugriff ermöglichen

Mit dieser Funktion können Sie sicherstellen, dass klare Verantwortlichkeiten im Anbietervertrag festgelegt sind und die SLAs entsprechend verfolgt und verwaltet werden.
Grundsatz 7: "Während der gesamten Dauer der Drittpartei-Vereinbarung sollten das FRFI und die Drittpartei geeignete Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Aufzeichnungen und Daten einführen und aufrechterhalten." Prevalent delivers a centralized, collaborative platform for conducting Datenschutzbewertungen und die Minderung sowohl externer als auch interner Datenschutzrisiken. Zu den wichtigsten Funktionen für die Bewertung der Datensicherheit und des Datenschutzes gehören:

  • Planmäßige Bewertungen und Beziehungsanalysen, um aufzuzeigen, wo personenbezogene Daten vorhanden sind, wo sie gemeinsam genutzt werden und wer Zugriff darauf hat - all dies wird in einem Risikoregister zusammengefasst, das kritische Risiken aufzeigt
  • Datenschutz-Folgenabschätzungen zur Aufdeckung gefährdeter Geschäftsdaten und personenbezogener Daten (PII)
  • Bewertung von Anbietern im Hinblick auf die GDPR und andere Datenschutzvorschriften über das Prevalent Compliance Framework (PCF) - deckt potenzielle Gefahrenherde auf, indem identifizierte Risiken spezifischen Kontrollen zugeordnet werden
  • Zuordnung von GDPR-Risiken und Reaktionen zu Kontrollen. Enthält Bewertungen der prozentualen Einhaltung der Vorschriften und stakeholderspezifische Berichte.
  • Eine Datenbank mit mehr als 10 Jahren Datenverletzungshistorie für Tausende von Unternehmen - einschließlich der Art und Menge der gestohlenen Daten, der Einhaltung von Vorschriften und behördlichen Auflagen sowie Echtzeit-Benachrichtigungen über Datenverletzungen durch Anbieter
  • Zentralisiertes Onboarding, Verteilung, Diskussion, Aufbewahrung und Überprüfung von Lieferantenverträgen - stellt sicher, dass die Datenschutzbestimmungen von Beginn der Geschäftsbeziehung an durchgesetzt werden
Grundsatz 8: "Die Vereinbarungen des FRFI mit Dritten sollten dem FRFI einen rechtzeitigen Zugang zu genauen und umfassenden Informationen ermöglichen, um ihn bei der Überwachung der Leistungen und Risiken Dritter zu unterstützen. Der FRFI sollte auch das Recht haben, eine unabhängige Prüfung eines Dritten durchzuführen oder in Auftrag zu geben." With Prevalent, auditors can establish a program to efficiently achieve and demonstrate compliance. The solution automates Compliance-Prüfung des Risikomanagements von Drittanbietern durch das Sammeln von Informationen zu Lieferantenrisiken, die Quantifizierung von Risiken, die Empfehlung von Abhilfemaßnahmen und die Erstellung von Berichten für Dutzende von staatlichen Vorschriften und Branchenrahmenwerken.

Prevalent ordnet die aus kontrollbasierten Bewertungen gewonnenen Informationen automatisch ISO 27001, NIST, GDPR, CoBiT 5, SSAE 18, SIG, SIG Lite, SOX, NYDFS und anderen Regelwerken zu, so dass Sie wichtige Compliance-Anforderungen schnell erkennen und erfüllen können.

Darüber hinaus zeigt Prevalent Risikotrends, Status und Ausnahmen vom üblichen Verhalten für einzelne Anbieter oder Gruppen mit eingebetteten Erkenntnissen des maschinellen Lernens auf. So können Sie schnell Ausreißer bei Bewertungen, Aufgaben, Risiken usw. erkennen, die eine weitere Untersuchung rechtfertigen könnten.
Grundsatz 9: "Die Vereinbarung des FRFI mit dem Dritten sollte die Fähigkeit umfassen, den Betrieb auch bei einer Unterbrechung aufrechtzuerhalten, einschließlich der Aufrechterhaltung, Prüfung und Aktivierung von Geschäftskontinuitäts- und Notfallplänen. Der FRFI sollte über Notfallpläne für seine kritischen Vereinbarungen mit Dritten verfügen." Prevalent automatisiert die Bewertung, kontinuierliche Überwachung, Analyse und Behebung von Geschäftskontinuität und Ausfallsicherheit von Drittanbietern – während die Ergebnisse automatisch den Kontrollrahmenwerken von NIST, ISO und anderen zugeordnet werden.

Zur Ergänzung von Bewertungen der Belastbarkeit von Unternehmen und zur Validierung der Ergebnisse wird Prevalent:

  • Automatisiert die kontinuierliche Cyber-Überwachung, die mögliche Auswirkungen auf das Geschäft Dritter vorhersagen kann
  • Zugriff auf qualitative Erkenntnisse aus über 550.000 öffentlichen und privaten Quellen von Reputationsinformationen, die auf eine Instabilität des Anbieters hinweisen könnten
  • Nutzt Finanzinformationen aus einem globalen Netzwerk von 2 Millionen Unternehmen, um die finanzielle Gesundheit oder betriebliche Probleme von Anbietern zu erkennen

Dieser proaktive Ansatz ermöglicht es Ihrem Unternehmen, die Auswirkungen von Störungen durch Dritte zu minimieren und die Compliance-Anforderungen zu erfüllen.

Die Prevalent-Plattform umfasst eine umfassende Bewertung der Widerstandsfähigkeit von Unternehmen auf der Grundlage von ISO 22301-Standardverfahren, die es Unternehmen ermöglichen,:

  • Kategorisierung der Lieferanten nach ihrem Risikoprofil und ihrer Wichtigkeit für das Unternehmen
  • Umriss der Wiederherstellungspunktziele (RPOs) und der Wiederherstellungszeitziele (RTOs)
  • Zentralisierung von Systeminventar, Risikobewertungen, RACI-Diagrammen und Drittparteien
  • Sicherstellung einer konsistenten Kommunikation mit den Lieferanten bei Betriebsunterbrechungen

Wenn eine Beendigung oder ein Ausstieg für kritische Dienste erforderlich ist, nutzt Prevalent anpassbare Umfragen und Workflows, um über Systemzugriff, Datenvernichtung, Zugriffsmanagement, Einhaltung relevanter Gesetze, Abschlusszahlungen und mehr zu berichten. Die Lösung schlägt außerdem Maßnahmen vor, die auf den Antworten auf die Offboarding-Bewertungen basieren, und leitet Aufgaben bei Bedarf an Prüfer weiter.
Ergebnis 4: Die Leistung von Dritten wird überwacht und bewertet, und Risiken und Zwischenfälle werden proaktiv angegangen.
Grundsatz 10: "Der FRFI sollte seine Vereinbarungen mit Dritten überwachen, um zu prüfen, ob der Dritte in der Lage ist, seinen Verpflichtungen weiterhin nachzukommen und Risiken wirksam zu steuern." Prevalent continuously tracks and analyzes externe Bedrohungen für DritteDie Lösung überwacht das Internet und das Dark Web auf Cyber-Bedrohungen und Schwachstellen sowie öffentliche und private Quellen für Informationen zu Reputation, Sanktionen und Finanzen.

Alle Überwachungsdaten werden mit den Bewertungsergebnissen korreliert und in einem einheitlichen Risikoregister für jeden Anbieter zentralisiert, wodurch Risikoprüfung, Berichterstattung und Reaktionsinitiativen rationalisiert werden.

Zu den Überwachungsquellen gehören:

  • Mehr als 1.500 kriminelle Foren, Tausende von Onion-Seiten, mehr als 80 Dark-Web-Special-Access-Foren, mehr als 65 Bedrohungs-Feeds und mehr als 50 Paste-Sites für durchgesickerte Zugangsdaten - sowie mehrere Sicherheits-Communities, Code-Repositories und Datenbanken mit Sicherheitslücken, die 550.000 Unternehmen abdecken
  • Eine Datenbank mit mehr als 10 Jahren Datenverletzungen für Tausende von Unternehmen auf der ganzen Welt
  • 550.000 öffentliche und private Quellen für Reputationsinformationen, einschließlich M&A-Aktivitäten, Geschäftsnachrichten, negative Nachrichten, regulatorische und rechtliche Informationen, betriebliche Aktualisierungen und mehr
  • Ein globales Netzwerk von 2 Millionen Unternehmen mit 5 Jahren organisatorischer Veränderungen und finanzieller Leistung, einschließlich Umsatz, Gewinn und Verlust, Aktionärsvermögen usw.
  • 30.000 weltweite Nachrichtenquellen
  • Eine Datenbank mit über 1,8 Millionen politisch exponierten Personenprofilen
  • Globale Sanktionslisten und über 1.000 globale Vollstreckungslisten und Gerichtsanmeldungen
Grundsatz 11: "Sowohl das FRFI als auch seine Drittpartei sollten über dokumentierte Prozesse verfügen, um Vorfälle wirksam zu identifizieren, zu untersuchen, zu eskalieren, zu verfolgen und zu beheben, um die laufende operative und finanzielle Belastbarkeit zu gewährleisten und das Risikoniveau innerhalb der Risikobereitschaft des FRFI zu halten." Prevalent ermöglicht es Ihrem Team, die Auswirkungen von Vorfällen bei Drittanbietern schnell zu erkennen und zu mindern, indem es Anbieter zentral verwaltet, Ereignisbewertungen durchführt, identifizierte Risiken bewertet und auf Anleitungen zur Abhilfe zugreift.
Ergebnis 5: Das Risikomanagementprogramm der FRFI für Dritte ermöglicht es der FRFI, eine Reihe von Beziehungen zu Dritten zu identifizieren und kontinuierlich zu verwalten.
Ergebnis 6: Die von Dritten durchgeführten Technologie- und Cyberoperationen sind transparent, zuverlässig und sicher. The Prevalent Platform includes a large library of standardized assessments (including those for NIST and ISO best practices frameworks) and customization capabilities to assess third parties with flexibility. For third parties that submit a SOC 2 report instead of a completed third-party risk assessment, Prevalent enables you to map control gaps identified within the SOC 2 report, create risk items against the third party within a central assessment platform, and track and report against deficiencies along with other risks.

Unabhängig vom Cybersecurity-Framework können Sie mit Prevalent die Bewertungszeiten verkürzen und die Risiken minimieren.
Zusätzliche Ressourcen
Governance, Risiko und Einhaltung der Vorschriften
Das PDPA und das Risikomanagement für Drittparteien
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine Checkliste zur Einhaltung der GDPR für das Risikomanagement von Drittanbietern
Mehr erfahren
Governance, Risiko und Einhaltung der Vorschriften
Eine CCPA- und CPRA-Compliance-Checkliste für das Risikomanagement von Drittanbietern
Mehr erfahren
Weitere Ressourcen anzeigen

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.

Befähigen. Automatisieren. Erhöhen. Mitratech

©2026 Mitratech, Inc. Alle Rechte vorbehalten.